曲径通幽论坛

标题: --ports/--sports/--dports --- 匹配多个端口 [打印本页]

作者: beyes 时间: 2012-5-19 16:42
标题: --ports/--sports/--dports --- 匹配多个端口
有时一个服务器可能需要开好几个服务，如果对于每一个服务端口写一条规则，那么既显累赘且阅读起来又很是不便，甚至还会影响到防火墙的性能。因此，可以采用多端口(multiport)匹配功能来解决这个问题。该功能由 xt_multiport.ko 模块提供。下面是几个可用选项：

--dports ：匹配目的端口，如 --dports 21,22,80,443
--sports ：匹配源端口，如 --dports 443,1024,3306
--ports ：可以同时匹配源端口或目的端口，如 --ports 22,80,443,1024

使用方式如： -m multiport --dports {posts list}

在同一条规则中，最多可以同时匹配多达 15 个端口，比如下面脚本：

[Bash shell] 纯文本查看 复制代码

#!/bin/bash

iptables -t filter -F

iptables -A INPUT -p all -m state --state INVALID -j DROP

iptables -A INPUT -p tcp --syn -m state --state NEW -m multiport --dports 21,22,23,80,443 -j ACCEPT

iptables -A INPUT -p all -m state --state ESTABLISHED, RELATED -j ACCEPT

欢迎光临曲径通幽论坛 (http://www.groad.net/bbs/)