实验----禁止internet 访问内网

首先配置路由环境：

A机：只需要桥接网卡，作为外网。IP：172.17.252.227

   添加路由记录route add default gw 172.17.123.224

B机：路由器，两个网卡都有，作为防火墙。IP:172.17.123.224 192.168.199.138

    开启转发功能：

   echo 1 > /proc/sys/net/ipv4/ip_forward

     或者vim /etc/sysctl.conf

            net.ipv4.ip_forward=1

         sysctl -p

C机：只需要仅主机网卡，作为内网。IP:192.168.199.142

   添加路由记录route add default gw 192.168.199.138

在防火墙上添加规则（C机）：

iptables -A FORWARD -s 192.168.199.142 -d 172.17.0.0/16 -m state --state NEW -j ACCEPT                    对内网到外网的新连接允许转发

iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT 允许已经建立的连接

iptables -A FORWARD -j REJECT  拒绝其他所有

实现效果：外网无法访问内网，但是内网可以访问外网

A机：

C机: