A cadeia OUTPUT é para pacotes originados do próprio servidor. Os pacotes dos clientes devem ser bloqueados na cadeia FORWARD. Algo parecido com isto: iptables -I FORWARD -d 151.101.56.193 -j DROP .
Eu tenho um roteador / gateway que é 10.1.1.1/24 Eu tenho um servidor rodando o servidor Ubunutu 16.04 com 3 interfaces. ens3 = 10.1.1.250/24 (externo) ens4 = 10.1.2.250/24 (interior) ens5 = 10.1.3.250/24 (não usado ainda) Eu adicionei uma regra de tabela nat para SNAT a interface externa ens3.
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- any ens3 anywhere anywhere to:10.1.1.250
usando um laptop eu configurei meu gateway padrão para 10.1.2.250 e ip para 10.1.2.22/24 e sou capaz de fazer ping de todas as interfaces de servidor, do roteador e da internet.
Eu adicionei uma regra de filtro para descartar com base no ip de destino
Chain OUTPUT (policy ACCEPT 23 packets, 2564 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- any any anywhere 151.101.56.193
do servidor tentando ir para esse IP, a regra bloqueia minha conexão e a contagem de registros é adequada, mas do meu laptop conectando no ens4 eu consigo acessar o site e ele não fica bloqueado.
O que estou perdendo?
Tags networking iptables routing