没问题，我来帮你梳理需要添加的iptables规则，刚好匹配你要实现的需求：阻止不可信网络（10.0.2.0/24）内部客户端互访，同时禁止他们访问可信网络（10.0.1.0/24）的客户端。

我们的调整主要集中在FORWARD链（负责跨网络数据包转发），同时要确保不破坏已有的NAT、DHCP/DNS服务访问逻辑。

1. 先保障基础流量正常通行 #

首先必须保留这条规则（放在所有阻止规则之前），否则NAT后的互联网返回包、可信网络主动访问不可信的返回包会被误拦截：

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

2. 阻止不可信网络内部客户端互访 #

这条规则会丢弃所有来自10.0.2.0/24、目的也是10.0.2.0/24的流量，但特意排除了对防火墙自身（假设防火墙在不可信网络的IP是10.0.2.1）的访问，这样客户端依然能正常使用防火墙提供的DHCP/DNS服务：

# 替换10.0.2.1为你的防火墙在不可信网络的实际IP
iptables -A FORWARD -s 10.0.2.0/24 -d 10.0.2.0/24 ! -d 10.0.2.1 -j DROP

如果你的防火墙在不可信网络没有固定IP（不推荐这种配置），也可以用接口匹配来放行客户端到防火墙的流量，比如假设不可信网络接口是eth1：

# 先允许不可信客户端访问防火墙自身
iptables -A FORWARD -s 10.0.2.0/24 -o eth1 -j ACCEPT
# 再阻止内部其他客户端互访
iptables -A FORWARD -s 10.0.2.0/24 -d 10.0.2.0/24 -j DROP

3. 阻止不可信网络访问可信网络客户端 #

这条规则直接丢弃所有来自不可信网络、目的是可信网络的流量，彻底阻断他们访问可信客户端：

iptables -A FORWARD -s 10.0.2.0/24 -d 10.0.1.0/24 -j DROP

4. 确认已有规则的优先级 #

请确保以下已有的必要规则在上述阻止规则之前生效：

• 允许客户端访问防火墙DHCP服务的规则（UDP 67/68端口）
• 允许客户端访问防火墙DNS服务的规则（UDP 53/TCP 53端口）
• 互联网访问的NAT伪装规则（POSTROUTING链的MASQUERADE）

比如你的NAT规则应该类似（替换eth2为你的互联网出口接口）：

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.2.0/24 -o eth2 -j MASQUERADE

验证规则生效 #

添加完规则后，可以用以下命令查看当前FORWARD链的规则顺序：

iptables -L FORWARD -v --line-numbers

确保RELATED,ESTABLISHED的规则排在最前面，然后是允许DHCP/DNS的规则，最后才是我们添加的DROP规则。

你也可以在不可信网络的客户端上测试：尝试ping同网段的其他客户端（比如10.0.2.12 ping 10.0.2.13），或者ping可信网络的客户端（10.0.2.12 ping 10.0.1.5），应该都无法连通，但访问互联网、防火墙的DNS/DHCP依然正常。

内容的提问来源于stack exchange，提问作者Wilbert