例如,我不想让我在同一局域网的 A 主机发送数据包到 B 主机。 网上搜了 ebtable 、tc 。配了规则,好像没用。还是可以 ping 通。
1
leonshaw 345 天前
nftables, tc, XDP
|
2
dode 345 天前
A 主机上静态绑定 B IP 地址到一个 00:00:00:00 不存在的 mac 地址
|
3
cpstar 345 天前
ping 通和 socket 通不通是两个层面的事情,一个 ICMP 包,一个 IP 包。
|
4
coderxy 345 天前
ping 跟 tcp 是两个协议 可以用 tc 直接丢弃到某个 ip 的所有包就行了
|
5
RobinHuuu 345 天前 via iPhone
在网络哪里做限制,注意这是局域网
|
6
julyclyde 345 天前
ebtables 按说应该有效啊
你确认你的用法正确? |
7
pagxir 345 天前 via Android
你的看看是不是经过你能控制的设置做转发的,否则没用。
|
8
sbldehanhan OP @julyclyde #6 sudo ebtables -A OUTPUT -o ens33 -d 00:0c:29:04:43:aa -j DROP 。这是在 A 主机上设置的,里面的 mac 地址是 B 主机网卡的。
|
9
sbldehanhan OP @pagxir #7 我的是 vm 虚拟机,装的是 Ubuntu20.04 。网络设置成桥接和复制物理网卡都没效果。
|
10
sbldehanhan OP @RobinHuuu #5 就是限制单台主机,让他禁止给某个目的主机发送 mac 帧。
|
11
sbldehanhan OP @coderxy #4 tc 之前没用过,按照网上的设置没效果。需要再深入研究一下。
|
12
sbldehanhan OP @cpstar #3 我就想在 mac 层就限制它。mac 层都限制住了,不可能 ping 通了吧?
|
13
sbldehanhan OP @dode #2 静态绑定?我搜一下。
|
14
sbldehanhan OP @leonshaw #1 这几个工具都没咋用过,需要深入研究一下。
|
15
dode 345 天前
@sbldehanhan
root@firewall root]# arp -a ? (192.168.100.83) at 00:15:58:A2:13: D0 [ether] on eth0 ? (192.168.100.81) at 00:15:C5:E1:D1:58 [ether] on eth0 [root@firewall bin]# arp -s 192.168.100.81 00:15:C5:E1:D1:58 [root@firewall bin]# arp -a ? (192.168.100.83) at 00:15:58:A2:13: D0 [ether] on eth0 ? (192.168.100.81) at 00:15:C5:E1: D1:58 [ether] PERM on eth0 |
16
mikaelson 345 天前
才发现还有这么多工具…只会用 iptables
|
17
sbldehanhan OP @leonshaw #1 终于用 xdp 实现了我想要的效果。感谢!
|