Iptables : multiport

Comprendre

L'extension multiport d'iptables permet de spécifier une et une seule règle pour cibler plusieurs services !

Usage de multiport


# autorise ENTREE vers serveur sur FTP, SSH, HTTP et HTTPS
iptables -A INPUT -i eth0 -p TCP -m multiport --dports 20-22,80,443 -m state --state NEW -j ACCEPT

Exemple

Au lieu d'écrire :


# autorise entree-sortie vers ssh, si est server ssh
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.1 -m state --state ! INVALID -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -p TCP --sport 22 -j ACCEPT 

# autorise entree-sortie vers DNS <-> LAN, si est server DNS
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.1 -m state --state ! INVALID -p TCP --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -p TCP --sport 53 -j ACCEPT

# autorise entree-sortie vers Cups <-> LAN, si est server Cups
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.1 -m state --state ! INVALID -p TCP --dport 631 -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -p TCP --sport 631 -j ACCEPT

Écrivez donc :


#Autorise connexion vers service SSH, DNS, Cupsys
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.1 -p TCP -m multiport --dports 22,53,631 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.0/24 -p TCP -m multiport --sports 22,53,631 -m state --state RELATED,ESTABLISHED -j ACCEPT

Pagination

<<| Page : IpTables : FAQ : multiport : |>>