iptables - 如何在默认情况下阻止 IP 时允许该 IP

iptables - 如何在默认情况下阻止 IP 时允许该 IP

我需要允许特定 IP 根据现有规则访问端口 11211(在服务器加载后运行的脚本中)

我想要添加的行:

iptables -A INPUT -p tcp -s xx.xx.xx.xx --dport 11211 -j ACCEPT

但是 iptables 已经包含此端口的 drop 行,所以我的行将附加在后面,并且永远不会起作用。drop 行:

DROP       tcp  --  anywhere             anywhere            tcp dpt:11211

我该怎么做?

答案1

您正在寻找“INSERT”而不是“APPEND”。您可以使用

iptables -I INPUT <slot> -p tcp -s xx.xx.xx.xx --dport 11211 -j ACCEPT

将规则插入链中所需的插槽。要找到正确的插槽号,请使用iptables -nL然后从 1 开始计算规则。

我认为您还可以省略插槽,让 iptables 在第一个插槽(顶部)插入新规则。

答案2

使用iptables -I INPUT -p tcp -s xx.xx.xx.xx --dport 11211 -j ACCEPT此选项将在 INPUT 链的开头插入规则,并在现有 DROP 规则之前进行处理。Iptables 从上到下工作,第一个匹配的规则获胜。一旦您确定它正常工作,请不要忘记保存 iptables 配置。

答案3

-A -- 表示附加。使用 -R 来替换,使用 -I 来插入链。

相关内容