请教一下IPTABLES的IP段写法

kkfgef

当我们有写入了规则后，iptables的匹配规则是不是从下往上？（iptables -L --line-numbers后，数字是从上往下的，最后添加的为第一条）

1. 11   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
   
2. 12   ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   
3. 13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80
   
4. 14   ACCEPT     tcp  --  127.0.0.1            0.0.0.0/0           tcp dpt:3306
   
5. 15   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306

复制代码

类似上面15是最先添加的吧，意思是说3306这个端口任何一个IP不能tcp通信，然后添加了14，127.0.0.1同意tcp通信，这样理解对吧，从最先开始匹配。
那么，我想要1.123.45.0到1.123.199.255这一段的禁止通过所有端口，要怎么添加？
单独IP段可以用掩码来实现，但这样的一个指定段如何添加？

licess

对 从上到下的

iptables -I INPUT -m iprange --src-range 1.123.45.0-1.234.199.255 -j DROP

kkfgef

原帖由 licess 于 2016-1-6 13:31 发表
对 从上到下的

iptables -I INPUT -m iprange --src-range 1.123.45.0-1.234.199.255 -j DROP

如何理解？从哪里到哪里？假如给规则添加数字后，这样解释是从数字1开始先匹配还是从最大的数字起匹配？

1. 当我们有写入了规则后，iptables的匹配规则是不是从下往上？（iptables -L --line-numbers后，数字是从上往下的，最后添加的为第一条）

复制代码

1. 对 从上到下的

复制代码

？

[ 本帖最后由 kkfgef 于 2016-1-6 15:13 编辑 ]

licess

iptables -L --line-numbers 默认就是规则实际的执行顺序

但不是你添加的顺序，添加你可以使用-I加到最前面也已使用-A加到最后面，还可以指定序号到第几个上