[问题求助]iptables "!" 的应用??? [复制链接]

最.近编绎了l7-filter模组,想另某一段IP可以上QQ,如网段192.198.1.0./.24,规则应如何写呢?我添加了下面规则,但好像不起作用,192.168.1.0的网段仍然上不了QQ, Please Help Me....健康

ipt.ables -A FORWARD -m layer7 --l7proto qq -s ! 192.168.1..0/24 -j DROP            杀毒

数据传输是双向的，回来的数据包符合 -s ! 192.168.1.0/24

版主,应该如何做,才起作用呢??

我一般不推荐使用 ! 这个参数，因为涵盖面太大了
你的策略可以写成类似这样试试看

iptables -A FORWARD -m layer7 --l7proto qq -s 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -d 192.168.1.0/24 -j ACCEPT

iptables -A FORWARD -m layer7 --l7proto qq -s ! 192.168.1.0/24 -j DROP
复制代码

成功了，請問加上這兩個規則有什麼作用呢？另外如果我想再加多一個不連續的網段192.168.254.0，應該怎樣改寫呢？
iptables -A FORWARD -m layer7 --l7proto qq -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -d 192.168.1.0/24 -j ACCEPT

刚看完state模组,明白了.现在我是想再添加多一个192.168.254.0/24的网段,使它也可以连上QQ
即开通192.168.1.0及192.168.254.0的网段,不知怎样更改.请指引

怎么开通 192.168.1.0 网段的，就怎么开通 192.168.254.0 网段咯

试过了,不行。可能我變通不靈問題吧，請iptables 能否在規則上指定不同網段呢？
iptables -A FORWARD -m layer7 --l7proto qq -s ! 192.168.1.0~192.168.2.0/24 -j DROP

方法一：
用开通 192.168.1.0/24 的方法一次开通 192.168.2.0/24、192.168.3.0/24……192.168.254.0/24

方法二：
给 netfilter 打 iprange 补丁后，利用下面方法实现
iptables -A FORWARD -m layer7 --l7proto qq -m iprange --sip-range 192.168.1.0-192.168.254.254 -j ACCEPT