问:如何限制除一个段外的其它IP无法访问主机
[size=13px]我们行业内有一个全国的大网,我们单位每分配了一个IP段有200个IP。现在我的LINUX上开了FTP服务器,我想使用iptables规则,限制 除了我们使用的这个IP段之外其它的IP都无法访问我们的FTP
我们每分配的IP地址是一个子网地址
请问我该如何设置iptables来实现这个功能?
我按下面的方法 设置 还是不行啊
iptables -A INPUT -s ! 网络地址/子网掩码 -p tcp --dport21 -j DROP
请大家帮帮忙啊
谢谢
[/size]
[[i] 本帖最后由 iamshiyu 于 2007-3-2 09:07 编辑 [/i]] iptables最重要的一点就是规则的逻辑关系,只要前面的规则(顶端规则或者叫先执行的规则)被匹配了,操作就直接被通过,而不再看后面的限制。
比如你的基本策略是iptables -P INPUT ACCEPT#所有进入本机的包都接受。
第一条规则是iptables -A INPUT -i eth0 -j DROP#假设你只有一块网卡,连的就是内部网络。
第二条规则是iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
则因为第一条凡是从eth0进入的包都会被扔掉,所以第二条将不会被执行,因为第一条所包含的范围已经覆盖了第二条所包含的范围。
另外,iptables的限制非常明确,你只开放21端口,没有开放20端口的话,则只能登陆到ftp,但无法传输任何数据,因为ftp传输数据使用20端口,控制使用21端口。 非常感谢 谢谢
页:
[1]
