假設有一個情況，我們要將某一個網段內的IP“一段IP”封鎖起來，如192.168.0.2-192.168.0.61，請問該如何來設定這個規則？因為這個網段并沒有符合任何一個CIDR網段，因此我們不能使用如“-s 192.168.0.0/28”的網段來匹配這個范圍，難道真的要一行一行寫嗎？其實不用，早期的做法是將192.168.0.0/24切成多個小網段，再去匹配哪一個小網段與被封鎖的區段比較接近，然后再將遺漏的部分補足。上邊例子中的IP段中IP的數量為59個，其中最接近的方法是我們將192.168.0.0/24切成四個段，每個網段所含的IP數量為64個。

我們可以寫規則如下：

iptables -A INPUT -p all -s 192.168.0.0/26 -j DROP

不過這樣會有幾個IP會遭到我們的錯殺，可以更改寫法如下：

iptables -A INPUT -p all -s 192.168.0.1 -j ACCEPTiptables -A INPUT -p all -s 192.168.0.2 -j ACCEPTiptables -A INPUT -p all -s 192.168.0.61 -j ACCEPTiptables -A INPUT -p all -s 192.168.0.62 -j ACCEPTiptables -A INPUT -p all -s 192.168.0.0/26 -j DROP

通過網段劃分，我們可以將原本需要寫50行的規則以短短的5行來取代，但計算過程真的很麻煩;不過有了ipt_iprange.ko模塊，我們可以將上邊的規則改寫為：

iptables -A INPUT -m iprange --src-range 192.168.0.2-192.168.0.61 -j DROP

iprange模塊提供了兩個匹配參數：

--src-range: 匹配來源地址的范圍，例如，iptables -A INPUT -m iprange --src-range 192.168.0.2-192.168.0.61 -j DROP

--dst-range: 匹配目的地址的范圍，例如，iptables -A OUTPUT -m iprange --dst-range 192.168.0.2-192.168.0.61 -j DROP

總結

以上是生活随笔為你收集整理的Linux禁止ip拒绝访问80,Linux iptables 设置允许(禁止)IP范围的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。