假设我想制定一条规则,如果传入数据包的目标端口是已建立或相关状态的端口 80、120、130 中的任何一个,系统应该丢弃它,但应该接受其他端口。我使用了类似下面的规则。但这似乎不起作用
sudo iptables -A INPUT -p tcp -m multiport ! --dports 80,120,130 -m state --state RELATED,ESTABLISHED -j ACCEPT
答案1
是的,此规则的工作原理与您在上面的最后评论中描述的非常相似。确切地说,在您的元代码中,它会ACCEPT匹配任何匹配的数据包:
protocol==tcp and (dport!=80 and dport!=120 and dport!=130) and (state==RELATED or state==ESTABLISHED)
任何其他数据包都不符合此规则,因此不会被处理。它们的命运将取决于其他规则和/或政策。