Saya telah menemukan artikel yang menasihati sebagai berikut:
iptables -A INPUT -p tcp 1000:2000 -j ACCEPT
Dan yang lain menyatakan bahwa hal di atas tidak akan berfungsi dan iptables hanya mendukung beberapa deklarasi port dengan --multiport
opsi tersebut.
Apakah ada cara yang benar untuk membuka banyak port dengan iptables?
linux
iptables
linux-networking
Paul Whalley
sumber
sumber
Jawaban:
Ini cara yang benar:
iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT
Sebagai contoh. Sumber di sini .
sumber
-I
agak lebih aman daripada-A
.-A INPUT -j REJECT --reject-with icmp-host-prohibited
di akhir INPUT dan tabel lainnya. Menggunakan-A
menambahkan aturan di akhir tabel, setelah aturan akhir sehingga tidak akan dianggap sebagai netfilter bekerja berdasarkan pertandingan pertama yang menang. Menggunakan-I
sisipan aturan di awal tabel dan karenanya akan selalu dipertimbangkan.-I
tidak selalu lebih aman jika Anda tidak tahu aturan tersebut.Apa yang dikatakan kepada Anda benar, meskipun Anda salah menuliskannya (lupa
--dport
).iptables -A INPUT -p tcp --dport 1000:2000
akan membuka lalu lintas masuk ke port TCP 1000 hingga 2000 inklusif.-m multiport --dports
hanya diperlukan jika kisaran Anda ingin membuka tidak kontinyu, misalnya-m multiport --dports 80,443
, yang akan membuka HTTP dan HTTPS hanya - bukan yang di antaranya.Perhatikan bahwa urutan aturan itu penting, dan (seperti yang disinggung oleh Iain dalam komentarnya di tempat lain) adalah tugas Anda untuk memastikan bahwa aturan apa pun yang Anda tambahkan ada di tempat yang akan efektif.
sumber
TL; DR tapi ...
Rentang port murni tanpa modul multiport:
iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT
Contoh pengali ekivalen:
iptables -A INPUT -p tcp -m multiport --dports 1000:2000 -j ACCEPT
... dan variasi tentang multi port dengan multi rentang (ya, ini juga memungkinkan):
iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002:1500,1501:2000 -j ACCEPT
... dan contoh multi port multi range yang setara dengan negasi:
iptables -A INPUT -p tcp -m multiport ! --dports 0:999,2001:65535 -j ACCEPT
Memiliki phun.
sumber