iptables添加一条规则的问题

老陈73

我想允许128.128.10.11/24这个IP通过访问，应该怎么写？
如果写成：
iptables -A INPUT -p tcp -m multiport --dport 80 -s 128.128.10.11 -m mac --mac-source xxxxxxx -m state --state NEW,ESTABLISHED -j ACCEPT
刚128.128.10.11/24这台电脑不能访问iptables后的服务器，如果把子网掩码改成16,就可以通过

如果写成:
iptables -A INPUT -p tcp -m multiport --dport 80 -s 128.128.10.11/24 -m mac --mac-source xxxxxxx -m state --state NEW,ESTABLISHED -j ACCEPT
刚输入后检查，系统变成了允许128.128.10.0/24这个网段的全部通过。但在实际访问时发现，如果客户端主机地址设为128.128.10.11/24，是不能通过防火墙的，如果客户端主机IP设为128.128.10.11/16，刚能通过防火墙。

这种修改了子网段的规则应该怎么写？

jimmy14k

如果只有一个端口，不用 -m multiport  ,不是内网，不用-m mac --mac-source   

如果放行单IP，写成128.128.10.11  或128.128.10.11/32

所以,允许128.128.10.11访问本机的80端口：iptables -I INPUT -p tcp -s 128.128.10.11 --dport 80 -j ACCEPT

老陈73

回复 2# jimmy14k
是在内网限制IP和MAC访问特定端口
现在的问题是我想仅允许指定的IP如：128.128.10.11/24访问，但在IP后加入子网掩码后，防火墙还是被限制了。服务器IP是128.128.10.123/16。

   

abc3w

建议先了解：
ip地址、子网掩码、广播域与mac地址
然后再学习iptables就容易得多

老陈73

回复 4# abc3w
能不能直接告诉我这条iptables应该怎么写？


   

qq58945591

iptables -I INPUT -p tcp -s 128.128.10.11 -d 128.128.10.123 --dport 80 -j ACCEPT


试试这个呢

qq58945591

回复 6# qq58945591

iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       128.128.10.11        128.128.10.123       tcp dpt:80



   

老陈73

qq58945591 发表于 2014-10-31 21:33
iptables -I INPUT -p tcp -s 128.128.10.11 -d 128.128.10.123 --dport 80 -j ACCEPT

你的意思是设置目的地址吗？
我要的是允许128.128.10.11/24这个主机通过防火墙访问128.128.10.123/16这台服务器。iptables有没有办法进行限制？

qq58945591

回复 8# 老陈73


你自己试试不就知道了？

这就是按你的要求做的iptables规则阿。跟你子网有什么关系，凡是来自这个ip来的访问那个ip的80端口就放行。

当然其他策略你还要添加，比如拒绝哪些ip不可以访问。如果你仅想让某个ip可以访问，其他全拒绝，那就在-s前面加个感叹号，表示取反，动作为REJECT就完了。
就是说除了那个ip，其他全拒绝，不就完了么，哪来那么多事情噢。


   

chenyx

我要的是允许128.128.10.11/24这个主机通过防火墙访问128.128.10.123/16这台服务器。iptables有没有办法进行限制？

这个没法限制啊,同一个网段,不会经过gateway直接就通信的