iptablesの範囲指定
なんか覚え書きです。
iptablesで、複数のIPアドレス(NWアドレス)制限をしなければならない場合の書き方。
-A INPUT -p tcp -s 124.123.123.123/32 --dport 80 -j ACCEPT
-A INPUT -p tcp -s 125.81.146.0/24 --dport 80 -j ACCEPT
-A INPUT -p tcp -s 125.81.132.0/24 --dport 80 -j ACCEPT
#-A INPUT -p tcp --dport 80 -j ACCEPT
とりあえず一行目の読み解き方はだいたいこんな感じ。
- INPUTで、
- -p プロトコルはtcp
- -s ソースIPアドレスは”124.123.123.123/32”
- --dport destination port(目的のport)は”80”番
- -j そのときのアクション。このパケットをACCEPT(受け入れる)。
つわけで、可変させるのは-sの後。
/32は固定IP。たぶん/32って書かなくてもOK。
125.81.146.0/24はもうご想像の通り、255個OKの状態。
あとは、maskを好きなように記述しましょう。
-sでも-d(宛先)の場合でもやり方は同じ。
ただし、上から評価するので、上下のルールに矛盾のないように。
上で閉じてて、下であけてもムダ。
CentOS6の場合は、以下で変更。
# vi /etc/sysconfig/iptables
保存したら、iptablesを再起動
# /etc/rc.d/init.d/iptables restart
期待通りになっているか表示。
# iptables -nL