如何用iptables过滤某些特定网段？

terabyte

我们公司的server（在上海）有个外部IP，需要从另外一个地方（是我们的分公司，在另外一个城市）远程访问，我只想让分公司的网段可以访问我们的server，请问怎样设置iptables，最好是越简单越好，我只想过滤除“分公司”之外的全部网段，谢谢！！

jgkc

iptables -I INPUT -s !分公司外部IP -j DROP

terabyte

谢谢两位老大。不过我还想问一下，你们写的命令中，"-s 你分公司的IP"是指一个单独的IP吗？因为分公司那边有很多机器，那样的话是不是要为每个要访问server的机子都运行一遍这个命令呢？有没有一次性的指定可以访问server的网段的命令？谢了！！

jgkc

-s 就可以是子网形式阿, 比如 202.xx.xx.xx/28 什么之类的形式

但是如果你用的iptables 是1.2.9以上的版本,就可以用 -m iprange --src-range 202.xx.xx.12-202.xx.xx.18 之类的网段形式

jgkc

但是加的形式还是参考版主的形式,如果你又多块网卡的话,加上 -i 比较好

首先就是要保证别限制了你自己也从本地就登录管理不了就行

如果你iptables版本比较低,那只有一个ip一个ip来添加了

kunlunsnow

分公司那边的机器虽然多，但公网IP应该不会多吧，公网IP比较多的俺还只在中科院见到过，呵呵。如果比较多，可以考虑写个脚本，这样虽然第一次麻烦点，但以后维护起来还是比较方便的。

terabyte

谢谢各位老大。Hi，jgkc，我的iptables是rh as 2.1自带的，版本只有1.2.4，比你说的1.2.9低些，惨了，看来我没法用"range"选项了，不过无论如何要谢谢你！！

terabyte

哦，kunlunsnow，你说得极是，分公司那边就公网IP甚少，所以工作量可能不会太大，哈哈~

terabyte

哎呀，老大，再问一下，我用iptables -A INPUT -i eth0 -s IP -j ACCEPT 这种语法时好像运行不太正常，而用iptables -A INPUT -i eth0 -s ! IP -j DROP时却正常，但我想用后面这种语法让“两个”IP通过，该怎么写？是用两条：
iptables -A INPUT -i eth0 -s ! IP1 -j DROP
iptables -A INPUT -i eth0 -s ! IP2 -j DROP
还是：
iptables -A INPUT -i eth0 -s ! IP1，IP2 -j DROP
请指点一下