Vraag Wat is de juiste manier om een ​​reeks poorten in iptables te openen


Ik ben artikelen tegengekomen die advies geven voor het volgende:

iptables -A INPUT -p tcp 1000:2000 -j ACCEPT

En anderen beweren dat het bovenstaande niet werkt en iptables ondersteunt alleen meerdere poortverklaringen met de --multiport keuze.

Is er een juiste manier om veel poorten met iptables te openen?


45
2018-05-13 16:54


oorsprong


Gerelateerde vraag: iptables en meerdere poorten - Cristian Ciupitu


antwoorden:


Dit is de juiste manier:

iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT

Als voorbeeld. Bron hier.


50
2018-05-13 16:57Als u de staat van de regelset niet kent -I is enigszins veiliger dan -A. - Iain
@Iain, kun je alsjeblieft de redenering achter dat uitleggen? - jayhendren
@jayhendren veel regelsets hebben een standaard drop-allesregel, bijvoorbeeld -A INPUT -j REJECT --reject-with icmp-host-prohibited aan het einde van de INPUT en andere tabellen. Gebruik makend van -A voegt de regel toe aan het einde van de tabel, na de laatste regel, zodat deze nooit zal worden beschouwd als netfilter werkt op basis van de eerste wedstrijd wint. Gebruik makend van -I voegt de regel toe aan het begin van de tabel en als zodanig zal deze altijd in overweging worden genomen. - Iain
@Ik heb echter ook regelset aan het begin die pakketten filteren of ratelimiteren, dus het is de moeite waard om erop te wijzen dat -I is niet altijd veiliger als u de regelset niet kent. - jayhendren
@jayhendren Ik denk dat je dat net hebt gedaan en merk ook op dat ik iets niet zei altijd. - Iain


Wat je is verteld, is goed, hoewel je het verkeerd hebt geschreven (je bent het vergeten --dport).

iptables -A INPUT -p tcp --dport 1000:2000 opent inkomend verkeer naar TCP-poorten 1000 tot en met 2000.

-m multiport --dports is alleen nodig als het bereik dat u wilt openen niet continu is, bijv -m multiport --dports 80,443, waarmee HTTP en HTTPS worden geopend enkel en alleen - niet degenen er tussenin.

Merk op dat het ordenen van regels belangrijk is, en (zoals in zijn opmerking elders wordt vermeld) is het uw taak om ervoor te zorgen dat elke regel die u toevoegt zich op een plaats bevindt waar deze effectief zal zijn.


48
2018-05-13 17:15Ik zou hier ook kunnen verwijzen als je wilt;) - Iain
Hee hee hee! Ga door, dan is het bericht voor herhaling vatbaar! - MadHatter
Dit is het juiste antwoord; het is grondiger. - Andrew Kozak


TL; DR maar ...

Pure poortbereik zonder multipoortmodule: iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT

Equivalent multipoort-voorbeeld: iptables -A INPUT -p tcp -m multiport --dports 1000:2000 -j ACCEPT

... en variatie over multi-poort met meerdere reeksen (ja, dit is ook mogelijk): iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002:1500,1501:2000 -j ACCEPT

... en een equivalent multi-poort multi-range voorbeeld met ontkenning: iptables -A INPUT -p tcp -m multiport ! --dports 0:999,2001:65535 -j ACCEPT

Heb phun.


10
2018-04-08 19:13