LINUX.ORG.RU

Правила iptables для запрета доступа на порт кроме нужных ip-адресов


0

2
$iptables -A FORWARD -s ip-адрес(1) ! -s ip-адрес(2) ! -s ip-адрес(3) ! -p tcp -m tcp --dport 3306 -j DROP

Как должно работать: приходящие пакеты на порт 3306 все drop кроме указанных. Правильно ли записана строчка правил и можно ли написать правила в формате когда ip-адреса пишутся через запятую и в конце идет знак "!". Пример:

$iptables -A FORWARD -s ip-адрес(1), ip-адрес(2), ip-адрес(3) ! -p tcp -m tcp --dport 3306 -j DROP
Спасибо за комментарии.


man?
http://linux.die.net/man/8/iptables

[!] -s, --source address[/mask][,...] Source specification. Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel. Please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea. The mask can be either a network mask or a plain number, specifying the number of 1's at the left side of the network mask. Thus, a mask of 24 is equivalent to 255.255.255.0. A "!" argument before the address specification inverts the sense of the address. The flag --src is an alias for this option. Multiple addresses can be specified, but this will expand to multiple rules (when adding with -A), or will cause multiple rules to be deleted (with -D).

! - для множественных адресов может не поддерживаться. В начале разреши для избранных, а следующим правилом запрети для остальных.

anonymous
()

Можно так:

$iptables -N CHK3306
$iptables -A CHK3306 -s ip-адрес(2) -j ACCEPT
$iptables -A CHK3306 -s ip-адрес(3) -j ACCEPT
$iptables -A CHK3306 -j DROP

$iptables -A FORWARD -p tcp -m tcp --dport 3306 -j CHK3306

justAmoment ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.