[问题求助]请教：关于iptables的iprange和--src的区别 [复制链接]

我想请教一下ipra.nge和--src的区别：.
我的理解是这样的：
如果我要多IP匹配，那么使用iprange和--src都可以，只是iprange可以.匹配不连续的IP，但是-.-src必须要匹配连续的IP<性病>
就是说如果是连续的IP地址匹配.，那么这两种方法都可以，那哪一种方法要用的多一些呢，比如效率高些等等.。健康

不知道我的理解是否正确，谢谢各位指教啊，谢.谢！教育

QUOTE:如果我要多IP匹配，那么使用iprange和--src都可以

错，iprange 可以，--src 不可以


QUOTE:只是iprange可以匹配不连续的IP，但是--src必须要匹配连续的IP

错，iprange 必须是连续的，而 --src 只能匹配一个

哦，明白了，原来我一直都搞混了，谢谢白金版主啊

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1-192.168.0.10

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
我一直都没有仔细看这个，原来是转换后的IP才可以有范围，而且 -s后要么是一个主机IP，要么是一个网络IP

--src-range --dst-range
iptables -I INPUT -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP

那如果要匹配不连续的IP地址，有没有一条规则可以搞定的啊

不连续的IP地址一条规则搞不定。

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10
你从这两条规则里面看出什么了？明白什么了？
我看你的回帖，感觉不到你明白什么了。

我是通过这两条规则说明，匹配一个包的IP的时候，--src或者--dst只能指定一个主机IP或者是网络IP，而不能是连续的IP哦
但是SNAT或者是DNAT后的IP是可以连续的，我以前一直都把这个搞混了，所以就觉得iprange这个匹配模块没有什么作用
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1-192.168.0.10
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1-1.1.1.10

QUOTE:原帖由 ballack133 于 2009-8-8 23:40 发表
那如果要匹配不连续的IP地址，有没有一条规则可以搞定的啊

我曾经写过一个名为 multiip 的匹配模块，受 multiport 启发所致，可以解决一条规则同时匹配多个 IP 的问题
http://bbs.chinaunix.net/viewthread.php?tid=704524

还有另一篇关于 multiip 的讨论贴
http://bbs.chinaunix.net/viewthread.php?tid=809378

哦，谢谢白金斑竹，我去看看哈！