centos iptables, restringe a porta tcp para ips específicos

1

Eu gostaria de modificar o iptables no meu servidor CentOS 5.8 para que apenas ips específicos possam se conectar à máquina em uma porta específica.

Atualmente, tenho o seguinte no meu arquivo iptables:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -j ACCEPT

Como eu modificaria essa linha se quisesse permitir acesso apenas aos ips 1.1.1.1 e 1.1.1.2, por exemplo? (eles podem não necessariamente ser ips seqüenciais quando eu faço isso para reais).

    
por user788171 09.09.2012 / 03:13

1 resposta

2

Você pode adicionar uma correspondência para cada IP de origem específico com o sinal -s e, em seguida, proibir todos os outros (se não houver uma regra mais recente para fazer o último bit para você):

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -s 1.1.1.1 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -s 1.1.1.2 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -j REJECT

Se os IPs que você deseja permitir puderem ser agrupados por uma sub-rede, você poderá simplificar um pouco as regras. Por exemplo, se você quisesse permitir 1.1.1.2 e 1.1.1.3, você poderia usar

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 5000 -s 1.1.1.2/31 -j ACCEPT

novamente seguindo-o com um cobertor REJECT , se necessário.

    
por 09.09.2012 / 03:32