可以跟屌大的求个iptables命令吗？

asdoify · 发表于 2020-8-3 16:11:03

让服务器上高于1024的端口，只允许指定的IP段连接。

用途就是几个WIN的虚拟机，用NAT(1024以上的端口)转发到了虚拟机的3389。只允许本地可能的IP段连接这些端口。

或者除了iptables，还有更合适的设置方法吗？

Syc · 发表于 2020-8-3 16:12:49

https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

Ticifer · 发表于 2020-8-3 16:35:43

iptables -I INPUT -p TCP --dport 1024:x -j DROP
iptables -I INPUT -s xxx.xx.xx.xx -p TCP --dport 1204:x -j ACCEPT
x自行替换端口 xxx.xx.xx.xx自行替换IP或IP段

asdoify · 发表于 2020-8-3 16:39:23

Ticifer 发表于 2020-8-3 16:35

iptables -I INPUT -p TCP --dport 1024:x -j DROP
iptables -I INPUT -s xxx.xx.xx.xx -p TCP --dport 120 ...
刚刚已经查到了这条命令
但是不起作用

asdoify · 发表于 2020-8-3 16:35:00

搞定了
要改NAT那条规则，加上 -s

Ticifer · 发表于 2020-8-3 16:44:40

iptables -A FORWARD -s xxx.xx.xx.xx -d xx.xxx.xx.xx -p tcp -m tcp --dport 1024:xx -j ACCEPT
iptables -A FORWARD -d xxx.xx.xx.xx -p tcp -m tcp --dport 1024:xx -j DROP
上面的是转发相关，不然就是下面这种情况
iptables -I INPUT -p tcp --dport 1024:xx -j DROP
iptables -I INPUT -s xx.xx.xx.xx/xx -p tcp --dport 1024:xx -j ACCEPT
用了NAT转发记得配合以下才能生效
iptables -I FORWARD -p tcp --dport 1024:xx -j DROP
iptables -I FORWARD -s xx.xx.xx.xx/xx -p tcp --dport 1024:xx -j ACCEPT

asdoify · 发表于 2020-8-3 16:46:34

Ticifer 发表于 2020-8-3 16:46

iptables -A FORWARD -s xxx.xx.xx.xx -d xx.xxx.xx.xx -p tcp -m tcp --dport 1024:xx -j ACCEPT
iptables ...
谢谢大佬
我去试下