iptables 单个规则中的多个源 IP

这只有当你能将你想要的源 IP 聚合到一个连续的范围内时才有可能。例如

iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.5 -p tcp -j ACCEPT

如果您找不到涵盖所需 IP 的通用网络掩码，则您必须编写几个相同的规则来执行您想要的操作。

有多个 iptables 框架可以处理编写 iptables 规则的低级别工作，允许您在更符号化的级别上定义规则。岸墙是目前大多数 Linux 发行版中附带的常见程序。

要在单个命令中添加多个源，我会这样做：

iptables -t filter -A INPUT -s 192.168.1.1,2.2.2.2,10.10.10.10 -j ACCEPT

iptables 会自动将其翻译成多个规则。

最初的问题出现在 2009 年 5 月，但自 2011 年 5 月以来，Linux 内核有一项功能可以满足这一需求，称为ipset。

下面是一个创建 ipset、向其中添加地址然后在防火墙规则中使用它的示例：

ipset -N office365 iphash

ipset -A office365 132.245.228.194
ipset -A office365 132.245.77.34
ipset -A office365 132.245.48.34
ipset -A office365 132.245.68.242
ipset -A office365 132.245.55.2
ipset -A office365 40.101.17.98
ipset -A office365 132.245.48.18
ipset -A office365 132.245.229.114
ipset -A office365 132.245.196.34
ipset -A office365 132.245.56.114

iptables -A OUTPUT -m set --match-set office365 dst -j ACCEPT

请参阅man iptables和man ipset以了解更多信息。

除了Bòss King的注释之外，还可以简单指定多个地址，以逗号分隔：

[!] -s, --source address[/mask][,...]
      Source specification. Address can be either a network name, a hostname, a network IP address (with /mask), or a plain IP address. Hostnames will be resolved once only, before the rule is submitted to the kernel.  Please note  that  specifying
      any  name  to  be resolved with a remote query such as DNS is a really bad idea.  The mask can be either a network mask or a plain number, specifying the number of 1's at the left side of the network mask.  Thus, a mask of 24 is equivalent to
      255.255.255.0.  A "!" argument before the address specification inverts the sense of the address. The flag --src is an alias for this option.  Multiple addresses can be specified, but this will expand to multiple rules (when adding with  -A),
      or will cause multiple rules to be deleted (with -D).