iptables -p all --dport

13

O iptables não parecem reconhecer --dportcom -p all.

iptables -A INPUT -p all --dport www -j ACCEPT

rendimentos:

iptables v1.4.4: unknown option `--dport'
Try `iptables -h' or 'iptables --help' for more information.

--destination-port doesn't work either: iptables v1.4.4: unknown option `--destination-port'

Adicionando duas regras separadas para -p tcpe -p udpfunciona bem, então por que não funciona -p all?

Caso isso importe, este é um servidor Ubuntu 10.04 LTS com o pacote iptables versão 1.4.4-2ubuntu2

ubuntu iptables darkfeline
fonte

Respostas:

16

--dport não é um sinalizador para regras gerais do iptables. É um sinalizador para um dos seus módulos de correspondência de pacotes estendidos . Estes são carregados quando você usa -p protocolou -m. A menos que você especifique -m <protocol>ou -p <protocol>com um protocolo específico, não poderá usar--dport

Você verá isso na página de manual do iptables (8) :

   tcp
       These extensions can be used if `--protocol tcp' is specified. It provides the
       following options:
       ...
       [!] --destination-port,--dport port[:port]
              Destination port or port range specification.  The flag --dport is a
              convenient alias for this option.
       ...

Nem todos os protocolos têm um sinalizador --dport porque nem todos os protocolos suportam a noção de portas

Philip Reynolds
fonte
7

'all' abrange mais do que apenas TCP e UDP; Ele também abrange protocolos como o ICMP, que não têm conceito de números de porta e, portanto, não podem usar um parâmetro --dport.

techieb0y
fonte