iptables forbidden port

话说上周五下午，部门正在开全体大会，正好了解一下外区的项目和同事，突然客户有了一个小需求，需要将从 123.1.123.xx 网段访问另一个环境的 30000 以上端口全部禁止掉，还催的很急。

赶紧本地验证，在网上找到一些iptables的介绍，拼接了一下命令。

namp port

1.1. 命令

iptables -A INPUT -s 172.16.111.0/24 -p tcp --dport 18018:18085 -j REJECT

也就是禁止 172.16.111.0/24 网段访问目标主机的 18018～18085这部分端口，因为当中有一个 18083是实际在工作的 Network Latency Detector 端口，方便测试。

1.2. 规则确认

iptables --list |grep 172

REJECT tcp -- 172.16.111.0/24 anywhere tcp dpts:18018:18085 reject-with icmp-port-unreachable

可以看到，防火墙规则已经存在了

1.3. 封锁前

封锁前效果检验

telnet 10.10.150.105 18083

Trying 10.10.150.105...

Connected to 10.10.150.105.

Escape character is '^]'.

1.4. 封锁后

封锁后效果检验

telnet 10.10.150.105 18083

Trying 10.10.150.105...

telnet: connect to address 10.10.150.105: Connection refused

1.5. 进一步验证

可以再进一步检查，不再封锁范围内的、常用且已开放的端口做进一步检查，如80、443、30080等，发现访问畅通。

至此可以验证，封锁指定端口范围是有效的，且不影响其它端口访问。

2. 客户线上环境

基于上面的测试验证，在客户环境所有节点，输入以上命令，并检查规则是否存在即可。

iptables -A INPUT -s 123.1.123.0/24 -p tcp --dport 30000:65535 -j REJECT

iptables --list |grep 123

REJECT tcp -- 123.1.123.0/24 anywhere tcp dpts:30000:65535 reject-with icmp-port-unreachable

3. 永久方式

可能环境这边有点特殊，常规的 service iptables save 保存规则，重启有效方式在这里不灵，后来用了如下2条命令，将规则写入文件，然后开机执行。

echo "iptables -A INPUT -s 172.16.111.0/24 -p tcp --dport 18018:18085 -j REJECT" >> /etc/rc.d/rc.local

chmod +x /etc/rc.d/rc.local

无论怎么重启，都有效了，问题解决。

4. 后记

客户环境居然验收不通过，端口居然可以访问，神奇了。

新代码

iptables -t mangle -I PREROUTING -s 192.9.220.0/24 -p tcp --dport 30000:65535 -j DROP
我这里校验方法也换传统的nmap了
nmap -v 10.10.150.105 -p 30000-40000 |grep open
使用前，大概有30多个端口是开通的
使用代码后，直接掉入黑洞了，这批端口段直接无返回

如果指定端口会有一个 filtered 结果。

nmap 10.10.150.105 -p 32096

PORT STATE SERVICE

32096/tcp filtered unknown