我正在使用CentOs 6.0设置防火墙进行测试 . 我在两个虚拟机上做这个 .
第一个VM(防火墙)有2个接口:eth0 - 连接到NAT 10.0.2.10,访问Internet eth1 - 连接到本地vm网络20.0.0.1
第二个VM(服务器)有1个接口:eth0 - 连接到本地vm网络,20.0.0.2,GATEWAY 20.0.0.1 .
他们都有静态ip和dns . 我想要做的是服务器无法通过防火墙虚拟机访问,为此我已完成这些配置:
VM1-Firewall:/etc/sysctl.conf net.ipv4.ip_forward 1 iptables -t nat -A POSTROUTING --out-interface eth0 -j MASQUERADE iptables -A FORWARD --in-interface eth1 -j ACCEPT
VM2-Server:只需设置网关为防火墙20.0.0.1,DNS为8.8.8.8
当我尝试ping时,例如,8.8.8.8它表示目标主机被禁止 .
谁能告诉我我做错了什么?我认为这是iptables不会将流量从eth1重定向到eth0但它应该用这个配置,不是吗?
非常感谢!
1 回答
由于默认拒绝防火墙策略,您应该使用
-A选项将规则附加到iptables链的 end . 默认丢弃策略将首先丢弃数据包并忽略进一步的匹配规则 .