dport
私はiptablesを使用してデフォルトで特定の着信トラフィックをブロックしますが、送信元IPまたはMACアドレスがいくつかのホワイトリストにある場合は着信トラフィックを許可する一連のルールを実装しようとしています。
DROP
これまではチェーン(INPUT
/など)にグローバルポリシーを適用できることだけを知っていますが、特定のポートからの着信接続OUTPUT
にのみこのポリシーを適用する方法はよくわかりません。
ベストアンサー1
あなたの説明によると、これはiptablesのかなり単純な問題です。 3段階にします。
戦略に新しいチェーンを追加します。
iptables -N MYCHAIN
INPUT
処理する宛先ポートのチェーンのポートのリストを定義します。
iptables -A INPUT -p <protocol, either tcp or udp> -m <again, protocol, match the '-p' switch value> --dport <portnum> -j MYCHAIN
それがすることは、特定のポートのルールを定義してから、指定されたチェーン(この場合はMYCHAIN)に「ジャンプ」することです。
次に、そのポートへのトラフィックを許可/拒否するようにMYCHAINにルールを設定します。
iptables -A MYCHAIN -s <source_IP> -j ACCEPT
iptables -A MYCHAIN -s <other_source_IP> -j ACCEPT
iptables -A MYCHAIN -j DROP
最後のルールではもちろん、代わりにREJECT
使用できますDROP
。ユーザーマニュアル(man iptables
)には、表示されるトラフィックを記録または制限するために使用できる追加のパラメータが表示されます。高度なルールに関するオンラインチュートリアルもあります。