Ho trovato articoli che consigliano quanto segue:
iptables -A INPUT -p tcp 1000:2000 -j ACCEPT
E altri affermano che quanto sopra non funzionerà e iptables supporta solo dichiarazioni di più porte con l' --multiportopzione.
Esiste un modo corretto per aprire molte porte con iptables?
Risposte:
Questo è il modo corretto:
iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT
Come esempio. Fonte qui .
-Iè in qualche modo più sicuro di -A.
-A INPUT -j REJECT --reject-with icmp-host-prohibitedalla fine dell'INPUT e di altre tabelle. Usando si -Aaggiunge la regola alla fine del tavolo, dopo la regola finale in modo che non venga mai considerata come netfilter funziona alla prima vittoria. Utilizzando si -Iinserisce la regola all'inizio della tabella e come tale verrà sempre considerata.
-Inon è sempre più sicuro se non si conosce il set di regole.
Quello che ti è stato detto è giusto, anche se l'hai scritto male (l'hai dimenticato --dport).
iptables -A INPUT -p tcp --dport 1000:2000 aprirà il traffico in entrata verso le porte TCP da 1000 a 2000 incluso.
-m multiport --dportsè necessaria solo se l'intervallo che si desidera aprire non è continua, per esempio -m multiport --dports 80,443, che aprirà HTTP e HTTPS solo - non quelli in mezzo.
Nota che l'ordinamento delle regole è importante e (come Iain allude nel suo commento altrove) è tuo compito assicurarti che qualsiasi regola che aggiungi sia in un posto dove sarà efficace.
TL; DR ma ...
Portata pura senza modulo multiporta:
iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT
Esempio multiporta equivalente:
iptables -A INPUT -p tcp -m multiport --dports 1000:2000 -j ACCEPT
... e variazione su multiporta con multi range (sì, anche questo è possibile):
iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002:1500,1501:2000 -j ACCEPT
... ed esempio multi range equivalente multiporta con negazione:
iptables -A INPUT -p tcp -m multiport ! --dports 0:999,2001:65535 -j ACCEPT
Ho phun.