pengembangan-web-mp-pd.com

iptables beberapa sumber IP dalam satu aturan

Saya ingin membuat aturan tunggal di iptables (jika mungkin) yang menggunakan beberapa alamat IP sumber. Apakah ini mungkin?

33
Glen Solsberry

Ini hanya mungkin jika Anda dapat menggabungkan IP sumber yang Anda inginkan ke dalam rentang yang berdekatan. misalnya

iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.5 -p tcp -j ACCEPT

Jika Anda tidak dapat menemukan netmask umum yang mencakup IP yang Anda inginkan, Anda harus menulis beberapa aturan yang sama untuk melakukan apa yang Anda inginkan.

Ada beberapa kerangka kerja iptables di sekitarnya yang dapat menangani rendahnya tingkat penulisan aturan iptables, memungkinkan Anda untuk mendefinisikan aturan Anda pada tingkat yang lebih simpatik. Shorewall adalah yang umum yang dikirimkan dengan sebagian besar distribusi linux saat ini.

14
Dave Cheney

Untuk menambahkan banyak sumber dalam satu perintah, saya akan melakukan ini:

iptables -t filter -A INPUT -s 192.168.1.1,2.2.2.2,10.10.10.10 -j ACCEPT

iptables akan secara otomatis menerjemahkannya menjadi banyak aturan.

117
Ali Pandidan

Pertanyaan aslinya adalah dari Mei 2009, tetapi sejak Mei 2011 kernel Linux telah memiliki fitur untuk menjawab kebutuhan ini disebut ipset.

Berikut adalah contoh membuat ipset, menambahkan alamat ke dalamnya, dan kemudian menggunakannya dalam aturan firewall:

ipset -N office365 iphash

ipset -A office365 132.245.228.194
ipset -A office365 132.245.77.34
ipset -A office365 132.245.48.34
ipset -A office365 132.245.68.242
ipset -A office365 132.245.55.2
ipset -A office365 40.101.17.98
ipset -A office365 132.245.48.18
ipset -A office365 132.245.229.114
ipset -A office365 132.245.196.34
ipset -A office365 132.245.56.114

iptables -A OUTPUT -m set --match-set office365 dst -j ACCEPT

Lihat man iptables dan man ipset untuk info lebih lanjut.

16
Tobia

anda dapat menggunakan modul iprange dalam kombinasi dengan '--src-range' seperti untuk e.x .:

-A INPUT -i eth0 -m iprange --src-range 192.168.1.90-192.168.1.101 -j ACCEPT

Sumber: halaman manual iptables 1.4.7

   iprange
   This matches on a given arbitrary range of IP addresses.

   [!] --src-range from[-to]
          Match source IP in the specified range.

   [!] --dst-range from[-to]
          Match destination IP in the specified range.

(Saya tahu ini seperti pertanyaan berusia 4 tahun, tetapi hanya untuk menjawab bagi siapa saja yang mencari ini di internet)

14
GGets

Selain komentar Bòss King, Anda juga dapat menentukan beberapa alamat yang dipisahkan dengan koma:

[!] -s, --source address[/mask][,...]
      Source specification. Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel.  Please note  that  specifying
      any  name  to  be resolved with a remote query such as DNS is a really bad idea.  The mask can be either a network mask or a plain number, specifying the number of 1's at the left side of the network mask.  Thus, a mask of 24 is equivalent to
      255.255.255.0.  A "!" argument before the address specification inverts the sense of the address. The flag --src is an alias for this option.  Multiple addresses can be specified, but this will expand to multiple rules (when adding with  -A),
      or will cause multiple rules to be deleted (with -D).
5
arjarj

Anda dapat mendefinisikan banyak rantai sehingga Anda dapat menggabungkan daftar persyaratan independen. Saya ragu ini persis apa yang Anda inginkan, tetapi masih cukup berguna. Kami menggunakan ini untuk menentukan daftar tipe pengguna yang valid berdasarkan IP, dan kemudian menerapkan pembatasan port ke jaringan sumber. Jadi, misalnya:

# Allow SMTP from anywhere
-A tcp_inbound -p tcp -m tcp -s 0/0 --dport 25 -j allowed
#
# Define the set of IP ranges we'll send to the tcp_user_inbound chain
-A tcp_inbound -p tcp -m tcp -s 172.19.1.0/24 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.6.0/23 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.8.0/24 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.10.0/23 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.12.0/23 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.4.0/23 -j tcp_user_inbound
#
# Ports we allow access to based on a source-address prereq.
# SSH
-A tcp_user_inbound -p tcp -m tcp --dport 22 -j allowed
# VNC
-A tcp_user_inbound -p tcp -m tcp --dport 5950:5958 -j allowed
# https
-A tcp_user_inbound -p tcp -m tcp --dport 443 -j allowed
4
jj33