全球主机交流论坛

标题: 求iptables大神，看看这个问题如何解？ [打印本页]

作者: aricmjj6 时间: 2019-8-24 00:00
标题: 求iptables大神，看看这个问题如何解？
网络如图：

在中间的Padavan路由器上写规则。左边的设备不能和cf进行v6连接。但是cf能够正常和右边的Server正常v6连接、回源
我的思路是这样
全局先写一条指定mac地址为linux server的白名单，accept来自cf的连接
再写一条地址cf-v6地址的drop规则。
ip6tables -I FORWARD -p tcp --dport 443 -s 2606:4700::/32 -m mac --mac-source 11:22:33:44:55:66 -j ACCEPT
ip6tables -A FORWARD -p all -s 2606:4700::/32 -j ACCEPT
实际发现根本不可行，百思不得其解，是不是我的根据mac地址来accpet的思路错了？
谢谢大神指导！

作者: aricmjj6 时间: 2019-8-24 00:01
上面命令的第二条写错了，动作应为drop

作者: Waylon 时间: 2019-8-24 00:18
不行是指，哪一方面没达到预期效果？

作者: aricmjj6 时间: 2019-8-24 00:23

Waylon 发表于 2019-8-24 00:18
不行是指，哪一方面没达到预期效果？

左边的设备屏蔽正常，右边的Server用v6也连不上cf，没法回源
简单点说左边通，右边开。地址不固定

作者: Waylon 时间: 2019-8-24 01:08
不方便模拟场景，，看着策略理论上没问题，，，但是要考虑MAC地址的因素，
在路由器前端抓包，看TCP包是什么MAC地址

欢迎光临全球主机交流论坛 (https://loc.516000.xyz/)