情况说明:
1、VPC内新建一个ECS,一个内网网卡,再加一个公网ip
2、虽然常用的服务已经绑定内网ip,但是通过公网,还是可以访问到,使用iptables,依然可以,原因是,【常规的都会加上这条规则【/sbin/iptables -A INPUT -i eth0 -j ACCEPT】,而公网的ip不管是通过nat还是什么方式,目标ip都是内网网卡,所以其他规则无效】
所以:
1、保留【/sbin/iptables -A INPUT -i eth0 -j ACCEPT】,麻烦
①、安全组(不分内外网)配置如下:
②、iptables排除内网ip段,其他端口类推,OUTPUT排除:
| /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i eth0 -j ACCEPT/sbin/iptables -A OUTPUT -p tcp ! -d 172.0.0.0/8 --sport 80 -j DROP |
2、去掉【/sbin/iptables -A INPUT -i eth0 -j ACCEPT】
①、安全组:
②、iptables去掉【/sbin/iptables -A INPUT -i eth0 -j ACCEPT】
其他照旧,