it-swarm.com.de

Was ist der richtige Weg, um eine Reihe von Ports in iptables zu öffnen?

Ich bin auf Artikel gestoßen, die Folgendes empfehlen:

iptables -A INPUT -p tcp 1000:2000 -j ACCEPT

Andere, die angeben, dass das oben genannte nicht funktioniert und iptables nur mehrere Portdeklarationen mit der Option --multiport Unterstützt.

Gibt es eine korrekte Möglichkeit, viele Ports mit iptables zu öffnen?

59
Paul Whalley

Das ist der richtige Weg:

iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT

Als Beispiel. Quelle hier .

62
Nathan C

Was Ihnen gesagt wurde, ist richtig, obwohl Sie es falsch geschrieben haben (Sie haben --dport Vergessen).

iptables -A INPUT -p tcp --dport 1000:2000 Öffnet eingehenden Datenverkehr für TCP Ports 1000 bis einschließlich 2000).

-m multiport --dports Wird nur benötigt, wenn der Bereich, den Sie öffnen möchten, nicht kontinuierlich ist, z. B. -m multiport --dports 80,443, Wodurch HTTP und HTTPS geöffnet werden nur - nicht die dazwischen liegenden.

Beachten Sie, dass die Reihenfolge der Regeln wichtig ist und (wie Iain in seinem Kommentar an anderer Stelle anspielt) es Ihre Aufgabe ist, sicherzustellen, dass sich alle von Ihnen hinzugefügten Regeln an einem Ort befinden, an dem sie wirksam werden.

57
MadHatter

TL; DR aber ...

Reiner Portbereich ohne Multiport-Modul: iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT

Äquivalentes Multiport-Beispiel: iptables -A INPUT -p tcp -m multiport --dports 1000:2000 -j ACCEPT

... und Variation über Multi-Port mit Multi-Bereichen (ja, das ist auch möglich): iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002:1500,1501:2000 -j ACCEPT

... und gleichwertiges Multi-Port-Multi-Range-Beispiel mit Negation: iptables -A INPUT -p tcp -m multiport ! --dports 0:999,2001:65535 -j ACCEPT

Habe Phun.

11
BloodMan

Laut man iptables-extensions können Sie einen Portbereich einfach mit dem Schalter --dport definieren.

tcp
Diese Erweiterungen können verwendet werden, wenn "--protocol tcp" angegeben ist. Es bietet die folgenden Optionen:
[!] --Zielport, - Portport [: Port]

Zielport oder Port Bereichsspezifikation . Das Flag --dport ist ein praktischer Alias ​​für diese Option.

Dies gibt also auch einen Portbereich an:
iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT

0
starvis