jeremy9678 wrote:對,優先權raw > mangle > nat > filter
gfx大請問一下使...(恕刪)
進入nat,因nat > filter ,
透過nat映射進入的主機的封包,路徑會往server,而非router
所以filter要透過chain=forward才能封鎖,而非chain=input.
但若是raw早一步出手,因封包連nat還沒看到就早已丟棄.
別說nat管不著,後面filter輪的到嗎XD
----------------------------------------
另外raw裡有個chain=notrack ,可用來阻斷nat
被raw標記到的封包,不管是從nat進來(dstnat),或是從nat出去(srcnat)都會失效.
借chain=notrack的影響,外網連入的封包會強迫往router路徑,無法轉向server;
同樣server的封包會被強迫留在內網,無法轉向router,更無法借router連繫網際網路.
所以若想限制某電腦連繫網路很簡單,除透過action=drop丟棄封包外;
用action=notrack也是不錯的方式,讓這台電腦nat失效,封包送不出網外也是一種選擇.
