Я натрапив на статті, які порадили наступне:
iptables -A INPUT -p tcp 1000:2000 -j ACCEPT
А інші заявляють, що вищезгадане не працюватиме, а iptables підтримує лише кілька декларацій портів із --multiportможливістю вибору.
Чи є правильний спосіб відкрити багато портів за допомогою iptables?
Відповіді:
Це правильний спосіб:
iptables -A INPUT -p tcp --match multiport --dports 1024:3000 -j ACCEPT
Як приклад. Джерело тут .
-Iдещо безпечніший -A.
-A INPUT -j REJECT --reject-with icmp-host-prohibitedнаприкінці INPUT та інших таблиць. Використання -Aдодає правило в кінці таблиці, після остаточного правила, тому воно ніколи не буде розглядатися як netfilter працює на основі виграшу першого матчу. Використовуючи -Iправило, вставлене на початку таблиці та як таке, воно завжди буде враховано.
-Iне завжди безпечніше, якщо ви не знаєте набір правил.
Те, що вам сказали, правильно, хоча ви написали це неправильно (ви забули --dport).
iptables -A INPUT -p tcp --dport 1000:2000 відкриє вхідний трафік до портів TCP від 1000 до 2000 включно.
-m multiport --dportsпотрібен тільки якщо діапазон ви хочете відкрити не є безперервним, наприклад -m multiport --dports 80,443, який відкриє HTTP і HTTPS тільки - не ті , що між ними.
Зауважте, що впорядкування правил є важливим, і (як натякає Ієйн у своєму коментарі в іншому місці) ваша робота - переконатися, що будь-яке додане вами правило знаходиться в тому місці, де воно буде дієвим.
TL; DR, але ...
Чистий діапазон портів без мультипортного модуля:
iptables -A INPUT -p tcp --dport 1000:2000 -j ACCEPT
Еквівалентний мультипортовий приклад:
iptables -A INPUT -p tcp -m multiport --dports 1000:2000 -j ACCEPT
... і варіант про багатопортовий порт з кількома діапазонами (так, це теж можливо):
iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002:1500,1501:2000 -j ACCEPT
... та еквівалентний багатопортовий приклад мультидіапазону з запереченням:
iptables -A INPUT -p tcp -m multiport ! --dports 0:999,2001:65535 -j ACCEPT
Майте фун.