Как указать в IPTABLES диапазон адресов

[kirkir]

Народ как указать в IPTABLES диапазон адресов, сеть можно указать типа 10.0.0.0/8, а если нужно указать диапазон например с 200-255 адрес как это сделать?

[SignFinder]

или подсеть с ближайшим количеством адресов или на каждый адрес свое правило

[Hans R. Steiner]

iptables -A FORWARD -s 172.16.9.0/24 -j ACCEPT

iptables -A FORWARD -s 172.16.0.0/16 -j DROP

[Ineu]

Не обязательно. В современных iptables есть модуль iprange, то есть вместо

for ((i = 17; i < 223; i++)); do

iptables -A FORWARD -s 172.16.0.$i -j ACCEPT

done

либо ручками вписывать 206 правил, либо разбивать этот диапазон на подсети и все равно ручками вписывать отдельные правила для этих подсетей, можно сделать так:

iptables -A FORWARD -m iprange --src-range 172.16.0.17-172.16.0.223 -j ACCEPT

[Hans R. Steiner]

Вообще, если требуется контроль каждого IP то, лучше

создать отдельные табллици для каждой из подсетей (

чтобы было легче ориентироваться... в больших таблицах

ковыряться не удобно ) и дальше, написать скрипт,

который будет работать с каждым из IP или с их группой...

при таком варианте, будут статические и не расползающиеся

списки правил... всегда знаешь, где и что лежит... и к

тому же, получается давольно гибкая система... можно

свободно делать что-то типа

172.16.0.1 -j DROP

172.16.0.2 -j ACCEP

172.16.0.3 -j DROP

172.16.0.4 -j DROP

172.16.0.5 -j ACCEP

172.16.0.6 -j DROP

172.16.0.7 -j DROP

172.16.0.8 -j ACCEP

172.16.0.9 -j DROP

ну естественно, это только пример... правила можно

наворотить как угодно... особенно, если речь идет о какой

либо статистике то, этот вариант, на мой взгляд, оптимален...