前言

在Linux內(nèi)核上，netfilter是負(fù)責(zé)數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和基于協(xié)議類型的連接跟蹤等功能的一個(gè)子系統(tǒng)，這個(gè)子系統(tǒng)包含一些信息包過濾表組成，這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。iptables是一個(gè)管理netfilter的工具。

多個(gè)連續(xù)IP操作

1、拆分成多條命令運(yùn)行

iptables -A INPUT 192.168.122.2 -j ACCEPT 
iptables -A INPUT 192.168.122.3 -j ACCEPT 
iptables -A INPUT 192.168.122.4 -j ACCEPT 
iptables -A INPUT 192.168.122.5 -j ACCEPT 
....

這種方式需要寫很多條命令，而且會(huì)導(dǎo)致iptables的表很長不好管理，而且量多了也會(huì)很小很小地影響性能（可以忽略不計(jì)）。

2、對(duì)一個(gè)IP段的IP進(jìn)行訪問控制，可以根據(jù)IP/MASK的形式進(jìn)行控制

iptables -A INPUT 192.168.122.0/24 -j ACCEPT

這種方式需要針對(duì)IP范圍，計(jì)算出指定的源碼，不靈活。（雖然很多使用為了方便都是使用這種方法，但是過多地授權(quán)會(huì)存在安全隱患）

3、iptables有很多個(gè)模塊，其中iprange就是用來專門處理連續(xù)IP段的訪問控制的

iptables -A INPUT -m iprange --src-range 192.168.122.2-192.168.122.34 -j ACCEPT #匹配源IP
iptables -A INPUT -m iprange --dest-range 8.8.8.2-8.8.8.22 -j DROP #匹配目標(biāo)IP

這種方式比較靈活，不需要去計(jì)算掩碼是多少，直接給出范圍就可以了。

總結(jié)

目前官方好像沒有支持不連續(xù)的IP，也有人添加了模塊來支持不連續(xù)IP。

個(gè)人覺得如果要管理好iptables列表，還是要先進(jìn)行整理一下，再進(jìn)行限制，需要用到連續(xù)的IP就用上面的方式，不連續(xù)的還是老老實(shí)實(shí)寫多條命令；而且機(jī)器多了還要安裝模塊，有可能影響系統(tǒng)的穩(wěn)定性。

推薦：

感興趣的朋友可以關(guān)注小編的微信公眾號(hào)【碼農(nóng)那點(diǎn)事兒】，更多網(wǎng)頁制作特效源碼及學(xué)習(xí)干貨哦?。?！

以上所述是小編給大家介紹的Linux使用iptables限制多個(gè)IP訪問你的服務(wù)器，希望對(duì)大家有所幫助，如果大家有任何疑問請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

最新評(píng)論