IO
ну и у тебя точно это INPUT? А то, если есть DNAT в таблице PREROUTING, то для проброшенных портов надо в цепочку FORWARD вносить.
Size: a a a
2021 June 21
IO
(на всякий случай, вдруг ты по-ipfw'овски мыслишь)
pE
Не, только iptables и INPUT, пока другого не добавлял, но буду иметь ввиду.
IO
ну, то есть, это порты на самой машине, где iptables настраивается. Тогда точно INPUT
В
это Win 1 )
IS
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 20,80,443 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 123,456 -s 1.2.3.4,1.2.3.5,1.2.3.6 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -j DROPIS
А если так?
pE
20 IPшников и 20 портов будет(почему - не спрашивай, хах), но так тоже сойдёт)
IS
А какая разница, сколько значений вбивать через запятую?:) Просто так самих правил сильно меньше
pE
Как же читабельность?
- x.x.x.x
- x.x.x.x
...
- x.x.x.x
- x.x.x.x
Явно проще, чем x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x
- x.x.x.x
- x.x.x.x
...
- x.x.x.x
- x.x.x.x
Явно проще, чем x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x,x.x.x.x
ИБ
pE
Но для маленького количество самое то. Оптимизация)
IS
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 123,456 -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 123,456 -s 1.2.3.5 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 123,456 -s 1.2.3.6 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j DROPIS
а вообще, я бы написал скрипт, который генерирует необходимые правила из списка нужных адресов. Тогда и читабельность особо ни к чему будет
pE
А это мне нравится больше) 👍🏿