當你在下iptables語法時,有時會踫到多數port或連續port的需求

本文將簡介iptables語法的使用

/sbin/iptables -A INPUT -p tcp -m tcp –dport 21 -j DROP  ##不讓 TCP 21 port 進入
/sbin/iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP  ##不讓 TCP 22 port 進入
/sbin/iptables -A INPUT -p tcp -m tcp –dport 80 -j DROP  ##不讓 TCP 80 port 進入

基本語法如上所列,三條解決,但如果今天我們要針對來源IP設限呢??

/sbin/iptables -A INPUT -s 1.1.1.0/24 -p tcp -m tcp –dport 21 -j DROP  ##不讓 1.1.1.0 c class 從TCP 21 port 進入
/sbin/iptables -A INPUT -s 1.1.1.0/24 -p tcp -m tcp –dport 22 -j DROP  ##不讓 1.1.1.0 c class 從TCP 22 port 進入
/sbin/iptables -A INPUT -s 1.1.1.0/24 -p tcp -m tcp –dport 80 -j DROP  ##不讓 1.1.1.0 c class 從TCP 80 port 進入

這樣做限制也OK,但會有個問題,如果你要限制的網段太多時,每個網段都設三條,會發瘋吧!!

改成這樣下

/sbin/iptables -A INPUT -s 1.1.1.0/24 -p tcp -m multiport –dport 21:22,80 -j DROP  ##不讓 1.1.1.0 c class 從TCP 21 22 80 port 進入

其中要注意的是 21和22中間是 : ,表示連續port.而22和80是不連續,所以使用 ,限制是一條命令中這樣的使用最多不能超過15組

這樣下是不是清爽多了

 

arrow
arrow
    全站熱搜

    痞客興 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄