• Skąd: Katowice
  • Zarejestrowany: 2011-06-29
  • Posty: 249

Temat: Iptables - otwarcie portu dla IP z LISTY

Cześć, chce prze kierować port  ale żeby zadziałało dla wybranych IP
jak w src_ip podać listę ? powielać tą sekcję z inny IP czy można jakoś podać wiele ?

Jak podaje po spacji kolejne IP to otwiera i tak dla wszystkich.
option src_ip 'xxx.xxx.xxx.168 yyy.yyy.yyy.167'


config redirect
        option name 'synology'
        option src 'wan'
        option proto 'tcp'
        option src_dport '5000-5006'
        option dest_ip '10.0.0.10'
        option target 'DNAT'
        option dest 'lan'
        option src_ip 'xxx.xxx.xxx.168'

Wszystkie posty dotyczą: TOTOLINK A7000R

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,059

Odp: Iptables - otwarcie portu dla IP z LISTY

Zrób kilka sekcji, dla każdego IP osobno, bo nawet nie wiem czy on listy przyjmuje.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Iptables - otwarcie portu dla IP z LISTY

@marko_max
Zależy ile masz tych adresów...
1. Jeżeli kilka 5-10 różnych to zamiast kilka bloków w /etc/config/firewall ja bym wpisał jedną linijkę do /etc/firewall.user

# cat /etc/firewall.user 

iptables -t nat -I PREROUTING -s 192.168.3.10,192.168.5.20,192.168.7.30,192.168.9.40 -p tcp --dport 5000:5006 -j DNAT --to-destination 10.0.0.10:5000-5006

2. dla 30-stu lub więcej różnych adresów to bym utworzył plik np /etc/ipsource z adresami w każdej linii po innym adresie i dalej robił skryptem, żeby czytał ten plik linia po linii i wklejał regułkę. coś na wzór /etc/hosts tylko że same adresy + skrypt.
ewentualnie drugi  skrypt do kasowania tych dodatkowych reguł.
Fajna opcja bo można łatwo edytować/dodawać/usuwać te adresy.

3. A jeżeli są to adresy z jednolitej puli to działa myślnik w /etc/config/firewall

option src_ip    '192.168.45.2-192.168.45.10'

być może potrzeba zainstalować pakiet:   iptables-mod-iprange

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *