主页 / server / 问题 / 1075964
Accepted
rm -rf
Asked: 2021-08-30 10:21:06 +0800 CST

如何在一个 iptables 命令行中添加多个 IP?sudo iptables -A INPUT -p tcp --dport 22 !-s 1.2.3.4 -j 删除

  • 772

更新:

我试过sudo iptables -A INPUT -p tcp --dport 22 ! -s 1.2.3.4,11.22.33.44 -j DROP了,不工作,它给了我一个错误

iptables v1.8.2(nf_tables):!不允许有多个源或目标 IP 地址

例如,我的目标是只允许只允许1.2.3.411.22.33.44连接我服务器的 ssh(端口 22)。

我更喜欢这种方法/命令而不是其他方法。

sudo iptables -A INPUT -p tcp --dport 22 ! -s 1.2.3.4 -j DROP

但我不知道如何11.22.33.44在此命令中添加另一个允许的 IP,

你能给我一点帮助或提示吗?

谢谢。

linux iptables

2 个回答

  1. 您可以使用IP 集

    根据您的发行版,您可能需要先安装该ipset实用程序。

    #(For Debian and Debian-derived distros)
sudo apt install ipset-persistent

    然后,您创建一个具有友好名称的集合。

    sudo ipset create ssh_friends iphash

    一旦你有了一个集合,你就可以给它添加 IP。

    sudo ipset add ssh_friends 1.2.3.4
sudo ipset add ssh_friends 11.22.33.44

    现在您可以使用您在iptables规则中创建的集合,而不是单个 IP。

    sudo iptables -A INPUT -p tcp --destination-port 22 -m set ! --match-set ssh_friends src -j DROP
    • 6
  2. Best Answer

    仅使用一个命令 using定义多个地址是不可能的。 iptables! --source

    地址可以是网络名称、主机名(使用主机名可能是一个非常糟糕的主意)、网络 IP 地址(带有 /mask)或纯 IP 地址。掩码可以是网络掩码或纯数字。

    您可以考虑将默认规则集从允许更改为删除。这将允许您仅根据应允许的内容进行定义,即类似如下:

    iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
... your other rules goes here ...
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -s 1.2.3.4,11.22.33.44 -j ACCEPT
iptables -P INPUT DROP

    好处/优点是这样的规则集性能会更好,因为考虑了包的状态。此外,它还允许使用所需的语法。Plus 也是定义防火墙规则的推荐方式。

    但是,请记住,如果使用如上所示的语法:-s 1.2.3.4,11.22.33.44仍然会创建 2 个单独的表条目,正如您可以使用命令看到的那样iptables -L INPUT。此外,它不适用于所有版本的 iptables。此外,我个人觉得很难阅读或维护。这就是我试图避免它的原因,而是使用 2 个单独的命令。

    如果您希望尽量减少规则的数量,您可以做的最接近的方法是使用一个 iptables规则来--match代替--source。但是,您仍然必须使用附加命令来定义匹配。在处理 ipset 的其他评论中已经完美地解释了它是如何工作的。

    • -1

相关问题