LINUX.ORG.RU
решено ФорумAdmin

Синтаксис iptables-save

 


0

5

Можно ли сократить запись подобной конструкции и привести к чуть более удобочитаемому виду? 

...
-A FORWARD -i eth1 -p tcp -m tcp --dport 1195 -d 192.168.0.10 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 1196 -d 192.168.0.10 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 1195 -d 192.168.0.10 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 1196 -d 192.168.0.10 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 1194 -d 192.168.0.17 -j ACCEPT
-A FORWARD -i eth1 -p udp -m udp --dport 1194 -d 192.168.0.17 -j ACCEPT
...
Можно ли тут как-то использовать диапазоны портов и задавать одним правилом политику для tcp и udp разом?

★★★★

Последнее исправление: BOOBLIK (всего исправлений: 1)
Dovecot, пользователи в PostgreSQL
SAMBA в Active Directory и UID/GID

Диапазон портов, можно 

 --dport 1194:1195
А вот протокол, нет.

pyatak123
()

эти правила случаем не предваряются DNAT-ом с внешнего ip? если да - то их все можно смело заменить на

-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Как-то очень красиво выглядит для всех проброшенных портов разом. В чем минусы? Наверняка же есть.

BOOBLIK ★★★★
() автор топика
Ответ на: комментарий от BOOBLIK

минусов насколько я знаю нет. Ведь логично - если ты пробросил порт DNAT-ом, ты согласен разрешить трафику проходить? Причем проходить он сможет именно туда, куда указывает DNAT. Подробности - в руководстве по iptables. Кстати старое правило вида 

-A FORWARD -m state RELATED,ESTABLISHED -j ACCEPT
можно объединить с данным и получится 
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
В будущих версиях iptables критерий state планируется вообще выпилить - критерий conntrack его более чем заменяет

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Dovecot, пользователи в PostgreSQL
Admin
SAMBA в Active Directory и UID/GID