我现在有一个需求,想要用到iptables并且是否有办法实现动态加载一个ip-list文件
例如,以下的正常需求
iptables -A INPUT -p tcp --dport 1111 -s 2.2.2.2 -j ACCEPT iptables -A INPUT -p tcp --dport 1111 -j DROP iptables -A INPUT -j ACCEPT
我的意思就是开一个端口给指定的ip,默认drop掉所有请求这个端口的请求,但是指定的这个ip是一个动态的,随时进行添加和删除的列表,所以不用使用直接添加的方式,并且直接添加有一个iptables的顺序执行的问题.是否可以实现如下情况 :
iptables -A INPUT -p tcp --dport 1111 -s ip-list-file -j ACCEPT iptables -A INPUT -p tcp --dport 1111 -j DROP iptables -A INPUT -j ACCEPT ip-list-file: 2.2.2.2 3.3.3.3
Have any idea ? Thank you .
=================================
刚知道,执行的顺序有办法解决了,可以使用-I就可以插入到链的开始位置,如果使用-A只是添加到链的末尾,
但还是想知道是否有办法实现只是修改一个Ip-list-file
你可以采用iptables中的ip_set模块。你可以把MAC或者IP假如一个set组中,而且支持在不修改iptables规则的情况下动态删除和增加。
iptables-save, iptables-apply, iptables-restore, 你想要的是这几个工具的功能么?