十万火急啊，求iptables高手

[qsword]

学校有个ubuntu服务器，双网卡，外接一个路由器，服务器外接路由器的网卡分配的ip是192.168.88.8,另外一个网卡接的是学校学生教室，设置的ip是192.168.100.1,学生使用dhcp获取ip上网，服务器上有个web服务，我想通过iptables限制学生上网，但是他们又能访问服务器的web做题目，同时，服务器还需要连接别的分校的一个vpn，我试过阻断他们上网，但是他们就访问不了服务器的web，如果从路由器里面禁止的话，服务器又不能连接vpn了，好烦恼，这几天，他们都在上网我都没法了，哪位高手能帮帮我，谢谢您

[qsword]

学校有个ubuntu服务器，双网卡，外接一个路由器，服务器外接路由器的网卡分配的ip是192.168.88.8,另外一个网卡接的是学校学生教室，设置的ip是192.168.100.1,学生使用dhcp获取ip上网，服务器上有个web服务，我想通过iptables限制学生上网，但是他们又能访问服务器的web做题目，同时，服务器还需要连接别的分校的一个vpn，我试过阻断他们上网，但是他们就访问不了服务器的web，如果从路由器里面禁止的话，服务器又不能连接vpn了，好烦恼，这几天，他们都在上网我都没法了，哪位高手能帮帮我，谢谢您

[qsword]

学校有个ubuntu服务器，双网卡，外接一个路由器，服务器外接路由器的网卡分配的ip是192.168.88.8,另外一个网卡接的是学校学生教室，设置的ip是192.168.100.1,学生使用dhcp获取ip上网，服务器上有个web服务，我想通过iptables限制学生上网，但是他们又能访问服务器的web做题目，同时，服务器还需要连接别的分校的一个vpn，我试过阻断他们上网，但是他们就访问不了服务器的web，如果从路由器里面禁止的话，服务器又不能连接vpn了，好烦恼，这几天，他们都在上网我都没法了，哪位高手能帮帮我，谢谢您

[qsword]

上来一看，还以为有两个回复，大侠都跑哪里去啦

[ptpt52]

哥哥心情好，把网络拓扑发出来，我帮你解决

[ptpt52]

大约猜测一下你的环境：

Student PC[192.168.100.xxx] --------[192.168.100.1]Server[192.168.88.8]-----------[router]-----Internet


这条规则应该可以解决问题

代码： 全选

iptables -A FORWARD -s 192.168.100.0/24 -j DROP

[qsword]

对，但是这样他们还能访问代理服务器的web服务吗？

[ptpt52]

对，但是这样他们还能访问代理服务器的web服务吗？

可以的鸟

[qsword]

谢谢您，如果有台192.168.88.100也开放web好像他们就访问不到了

[ptpt52]

谢谢您，如果有台192.168.88.100也开放web好像他们就访问不到了

用白名单吧

代码： 全选

默认禁止FORWARD
iptables -P FORWARD DROP

放通已经建立的连接
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEP

下面是白名单：放通目标为192.168.88.0/24 的访问
iptables -A FORWARD -d 192.168.88.0/24 -j ACCEPT

[aca]

代理服务器是哪台，你要画清楚啊

[anddysun]

老实说没看懂，服务器连外面的VPN干什么用，只给服务器还是需要转给学生教室一起用？个人感觉不需要设置服务器的防火墙，只需要路由器上设置即可，两张网卡代表设备，会有两个网关，个人感觉最简单的就是把分配到学生教室的的网关改成一个无关的地址就可以了。但这种功能最好有个三层交换做出来的效果才是最安全最有效的。