sviluppo-web-qa.it

iptables IP multipli in un'unica regola

Vorrei creare una singola regola in iptables (se possibile) che utilizza più indirizzi IP di origine. È possibile?

33
Glen Solsberry

Ciò è possibile solo se è possibile aggregare gli IP di origine desiderati in un intervallo contiguo. per esempio

iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.5 -p tcp -j ACCEPT

Se non riesci a trovare una maschera di rete comune che copra l'IP che desideri, dovrai scrivere diverse regole identiche per fare ciò che desideri.

Esistono diversi framework di iptables in grado di gestire il basso livello di scrittura delle regole di iptables, permettendoti di definire le tue regole a un livello più simbolico. Shorewall è uno comune fornito con la maggior parte delle attuali distribuzioni di Linux.

14
Dave Cheney

Per aggiungere più fonti in un singolo comando, farei questo:

iptables -t filter -A INPUT -s 192.168.1.1,2.2.2.2,10.10.10.10 -j ACCEPT

iptables lo tradurrà automaticamente in regole multiple.

117
Ali Pandidan

La domanda originale è di maggio 2009, ma da maggio 2011 il kernel Linux ha una funzione per rispondere a questa esigenza chiamata ipset.

Ecco un esempio di creazione di un ipset, aggiunta di indirizzi e utilizzo in una regola firewall:

ipset -N office365 iphash

ipset -A office365 132.245.228.194
ipset -A office365 132.245.77.34
ipset -A office365 132.245.48.34
ipset -A office365 132.245.68.242
ipset -A office365 132.245.55.2
ipset -A office365 40.101.17.98
ipset -A office365 132.245.48.18
ipset -A office365 132.245.229.114
ipset -A office365 132.245.196.34
ipset -A office365 132.245.56.114

iptables -A OUTPUT -m set --match-set office365 dst -j ACCEPT

Vedi man iptables e man ipset per maggiori informazioni.

16
Tobia

puoi usare il modulo iprange in combinazione con '--src-range' come per e.x .:

-A INPUT -i eth0 -m iprange --src-range 192.168.1.90-192.168.1.101 -j ACCEPT

Fonte: pagina man di iptables 1.4.7

   iprange
   This matches on a given arbitrary range of IP addresses.

   [!] --src-range from[-to]
          Match source IP in the specified range.

   [!] --dst-range from[-to]
          Match destination IP in the specified range.

(So ​​che è come una domanda di 4 anni, ma solo per rispondere a chiunque cerchi questo in rete)

14
GGets

Oltre al commento di Bòss King, puoi anche semplicemente specificare diversi indirizzi separati da una virgola:

[!] -s, --source address[/mask][,...]
      Source specification. Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel.  Please note  that  specifying
      any  name  to  be resolved with a remote query such as DNS is a really bad idea.  The mask can be either a network mask or a plain number, specifying the number of 1's at the left side of the network mask.  Thus, a mask of 24 is equivalent to
      255.255.255.0.  A "!" argument before the address specification inverts the sense of the address. The flag --src is an alias for this option.  Multiple addresses can be specified, but this will expand to multiple rules (when adding with  -A),
      or will cause multiple rules to be deleted (with -D).
5
arjarj

È possibile definire più catene in modo tale da poter combinare elenchi indipendenti di requisiti. Dubito che sia esattamente quello che vuoi, ma è comunque abbastanza utile. Usiamo questo per definire elenchi di tipi di utente validi per IP, quindi applichiamo le restrizioni delle porte alle reti di origine. Quindi, per esempio:

# Allow SMTP from anywhere
-A tcp_inbound -p tcp -m tcp -s 0/0 --dport 25 -j allowed
#
# Define the set of IP ranges we'll send to the tcp_user_inbound chain
-A tcp_inbound -p tcp -m tcp -s 172.19.1.0/24 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.6.0/23 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.8.0/24 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.10.0/23 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.12.0/23 -j tcp_user_inbound
-A tcp_inbound -p tcp -m tcp -s 172.19.4.0/23 -j tcp_user_inbound
#
# Ports we allow access to based on a source-address prereq.
# SSH
-A tcp_user_inbound -p tcp -m tcp --dport 22 -j allowed
# VNC
-A tcp_user_inbound -p tcp -m tcp --dport 5950:5958 -j allowed
# https
-A tcp_user_inbound -p tcp -m tcp --dport 443 -j allowed
4
jj33