在iptables里使用变量的问题

peachonline

以下是我们规则，为什么我前面定义了两个变量，在使用过程中，就报错，无法开启定义好的端口。

#!/bin/sh

####定义变量###
TCP_DPORTS="21,22,25,53,80,110,512,1430,1433,1440,1441,1800,1810,4000,8000,8080"
UDP_DPORTS="53,443,8080,1890,5000:20000"
####结束 定义变量###

###开放部分端口
iptables -I FORWARD -p tcp -s 192.168.0.0/16 --sport $TCP_DPORTS -j ACCEPT
iptables -I FORWARD -p udp -s 192.168.0.0/16 --sport $UDP_DPORTS -j ACCEPT
iptables -I FORWARD -p tcp -d 192.168.0.0/16 --dport $TCP_DPORTS -j ACCEPT
iptables -I FORWARD -p udp -d 192.168.0.0/16 --dport $UDP_DPORTS -j ACCEPT
###结束 开放部分端口

chenyx

楼主,多个端口需要用到multiport,看帮助只对tcp有效,限制15个端口(,分割的)

marsaber

/usr/local/sbin/iptables –A INPUT -p tcp -m muluiport --dport 21,22,25,80,110 -j DROP
/usr/local/sbin/iptables –A INPUT -p tcp -m muluiport --source-port 21,22,25,80,110 -j DROP
/usr/local/sbin/iptables –A INPUT -p tcp -m muluiport --destination-port 21,22,25,80,110 -j DROP


类似这样的。

marsaber

额 09年整理的资料，这里--dport应该等于--destination-port
顺便说一下，iptables默认可能不支持，需要编译内核+iptables。

chenyx

楼主可以照楼上的命令输入一条,如果没有报错,说明系统支持multiport

chenyx

对于udp那个,multiport没有办法,楼主写shell循环,写多条iptables指令来解决吧

platinum

####定义变量###
TCP_DPORTS="21,22,25,53,80,110,512,1430,1433,1440,1441,1800,1810,4000,8000,8080"
UDP_DPORTS="53,443,8080,1890,5000:20000"
####结束 定义变量###

iptables -A FORWARD -p tcp -m multiport --ports $TCP_DPORTS -j ACCEPT
iptables -A FORWARD -p udp -m multiport --ports $UDP_DPORTS -j ACCEPT

从 CentOS 4.x 就支持了

peachonline

范例 iptables -A INPUT -p tcp 说明 比对通讯协议类型是否相符，可以使用 ! 运算子进行反向比对，例如：-p ! tcp ，意思是指除 tcp 以外的其它类型，包含 udp、icmp ...等。如果要比对所有类型，则可以使用 all 关键词，例如：-p all。 参数 -s, --src, --source 范例 iptables -A INPUT -s 192.168.1.1 说明 用来比对封包的来源 IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s 192.168.0.0/24，比对 IP 时 可以使用 ! 运算子进行反向比对，例如：-s ! 192.168.0.0/24。 参数 -d, --dst, --destination 范例 iptables -A INPUT -d 192.168.1.1 说明 用来比对封包的目的地 IP，设定方式同上。 参数 -i, --in-interface 范例 iptables -A INPUT -i eth0 说明 用来比对封包是从哪片网卡进入，可以使用通配字符 + 来做大范围比对，例如：-i eth+ 表示所有的 ethernet 网卡，也 以使用 ! 运算子进行反向比对，例如：-i ! eth0。 参数 -o, --out-interface 范例 iptables -A FORWARD -o eth0 说明 用来比对封包要从哪片网卡送出，设定方式同上。 参数 --sport, --source-port 范例 iptables -A INPUT -p tcp --sport 22 说明 用来比对封包的来源埠号，可以比对单一埠，或是一个范围，例如：--sport 22:80，表示从 22 到 80 埠之间都算是符合 件，如果要比对不连续的多个埠，则必须使用 --multiport 参数，详见后文。比对埠号时，可以使用 ! 运算子进行反向比对。 参数 --dport, --destination-port 范例 iptables -A INPUT -p tcp --dport 22 说明 用来比对封包的目的地埠号，设定方式同上。 参数 --tcp-flags 范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 说明 比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急） PSH（强迫推送） 等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时，可以使用 ! 运算子 行反向比对。 参数 --syn 范例 iptables -p tcp --syn 说明 用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 运算子，可用来比对非要求联机封包。 参数 -m multiport --source-port 范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用 ! 运算子进行反向比对。 参数 -m multiport --destination-port 范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 说明 用来比对不连续的多个目的地埠号，设定方式同上。 参数 -m multiport --