ฉันเจอบทความที่ให้คำแนะนำต่อไปนี้:
iptables -A INPUT -p tcp 1000:2000 -j ACCEPT
และคนอื่น ๆ ที่ระบุว่าข้างต้นจะไม่ทำงานและ iptables รองรับการประกาศพอร์ตหลายรายการพร้อม--multiportตัวเลือกเท่านั้น
มีวิธีที่ถูกต้องในการเปิดหลายพอร์ตด้วย iptables หรือไม่?
คำตอบ:
นี่เป็นวิธีที่ถูกต้อง:
iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT
-I -A
-A INPUT -j REJECT --reject-with icmp-host-prohibitedท้าย INPUT และตารางอื่น ๆ การใช้-Aเพิ่มกฎท้ายตารางหลังจากกฎสุดท้ายดังนั้นมันจะไม่ถูกพิจารณาว่าเป็น netfilter ทำงานบนพื้นฐานการแข่งขันครั้งแรกชนะ การใช้การ-Iแทรกกฎที่จุดเริ่มต้นของตารางและจะถูกพิจารณาเสมอ
-Iจะไม่ปลอดภัยกว่าเสมอถ้าคุณไม่รู้จักกฎ
สิ่งที่คุณได้รับการบอกถูกต้องแม้ว่าคุณจะเขียนผิด (คุณลืม--dport)
iptables -A INPUT -p tcp --dport 1000:2000 จะเปิดทราฟฟิกขาเข้าไปยังพอร์ต TCP รวม 1,000 ถึง 2000
-m multiport --dportsจำเป็นเฉพาะถ้าช่วงที่คุณต้องการเปิดไม่ต่อเนื่องเช่น-m multiport --dports 80,443ซึ่งจะเปิด HTTP และ HTTPS เท่านั้น - ไม่ใช่ช่วงที่อยู่ระหว่างนั้น
โปรดทราบว่าการเรียงลำดับของกฎมีความสำคัญและ (เนื่องจาก Iain หมายถึงในความคิดเห็นของเขาที่อื่น ๆ ) มันเป็นงานของคุณเพื่อให้แน่ใจว่ากฎใด ๆ ที่คุณเพิ่มอยู่ในสถานที่ที่มันจะมีประสิทธิภาพ
TL; DR แต่ ...
ช่วงพอร์ตที่บริสุทธิ์โดยไม่มีโมดูลหลายพอร์ต:
iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT
ตัวอย่าง multiport ที่เทียบเท่า:
iptables -A INPUT -p tcp -m multiport --dports 1000:2000 -j ACCEPT
... และรูปแบบเกี่ยวกับหลายพอร์ตที่มีหลายช่วง (ใช่นี่เป็นไปได้ด้วย):
iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002:1500,1501:2000 -j ACCEPT
... และตัวอย่างมัลติพอร์ตหลายช่วงที่เทียบเท่ากับการปฏิเสธ:
iptables -A INPUT -p tcp -m multiport ! --dports 0:999,2001:65535 -j ACCEPT
มีพูน