iptables限制ip上网

禁止某些客户机上网
在某些情况下，我们可能要禁止某个IP或某个网段的计算机上网。
如果要禁止IP地址为192.168.0.3的客户机上网，可以这样设：
/sbin/iptables -A FORWARD -s 192.168.0.3 -j DROP

如果要禁止192.168.0.0这个子网里所以有客户机上网，可以这样设：
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j DROP

其中“/24”表示禁止整个C 类网段访问INTERNET.

不过我发现我们公司的用上面的语法不好用，在别的地方好用。不知是为什么呀。

我们公司的语法是这样的才好用呀。语法如下：
如果要禁止IP地址为192.168.0.3的客户机上网，可以这样设：
/sbin/iptables -t nat -A PREROUTING -s 192.168.0.3 -j DROP

如果要禁止192.168.0.0这个子网里所以有客户机上网，可以这样设：
/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/24 -j DROP