第一次发贴,iptable教程

exertroar

新人，感觉coyote真的很强，但是本人能力有限，为了封端口找了篇
iptable的介绍，和大家共同学习

[ 本帖最后由 exertroar 于 2006-4-20 16:13 编辑 ]

exertroar

iptables -A FORWARD -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP --dport 8180 -j ACCEPT
iptables -A FORWARD -p TCP --dport 135 -j ACCEPT
iptables -A FORWARD -p TCP --dport 80 -j ACCEPT
iptables -A FORWARD -p TCP --dport 139 -j ACCEPT
iptables -A FORWARD -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -p TCP --dport 1:65530 -j DROP

iptables -A FORWARD -p UDP --dport 25 -j ACCEPT
iptables -A FORWARD -p UDP --dport 8180 -j ACCEPT
iptables -A FORWARD -p UDP --dport 135 -j ACCEPT
iptables -A FORWARD -p UDP --dport 80 -j ACCEPT
iptables -A FORWARD -p UDP --dport 139 -j ACCEPT
iptables -A FORWARD -p UDP --dport 21 -j ACCEPT
iptables -A FORWARD -p UDP --dport 1:65530 -j DROP

对高手来说是小菜了，不过对于我来讲不大容易，我还有疑问：
允许的我写的是不是能精简点
1。用21,80,135,139,8180讲允许的口写在一起
2。iptable 是不是在linux中都通用，也就是任何版本的格式都一样？
3。高手们看看都没有什么贻笑大方的地方，希望指正

wjf1230

脚本写的都还好...就是光一个NAT的多..防火墙的再丰富些就好了..安全也很重要的

superg

6.4.3.4. Multiport match
多端口匹配扩展使我们能够在一条规则里指定不连续的多个端口，如果没有这个扩展，我们只能按端口来写规则了。其实这只是标准端口匹配的增强版罢了，使我们书写规则更方便而已。


注意：不能在一条规则里同时使用标准端口匹配和多端口匹配，如--sport 1024:63353 -m multiport --dport 21,23,80。这条规则并不能想你想象的那样工作，但也不是不能工作，iptables会使用第一个合法的条件，那么这里多端口匹配就白写了


Table 6-11. Multiport match options

Match --source-port
Example iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
Explanation 源端口多端口匹配，最多可以指定15个端口，以英文逗号分隔，注意没有空格。使用时必须有-p tcp或-p udp为前提条件。
Match --destination-port
Example iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
Explanation 目的端口多端口匹配，使用方法和源端口多端口匹配一样，唯一的区别是它匹配的是目的端口。
Match --port
Example iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
Explanation 同端口多端口匹配，意思就是它匹配的是那种源端口和目的端口是同一个端口的包，比如：端口80到端口80的包，110到110的包等。使用方法和源端口多端口匹配一样。

superg

上面是我在Iptables 指南 1.1.19里面直接复制过来的
可以解决LZ的多端口匹配要求

jiayong277

呵呵支持