Что является корректным способом открыть диапазон портов в iptables
Кажется, bikeshed, но...
IO является единственным ресурсом, на который logrotate будет иметь значимый эффект.
Один основной logrote произвел бы такой же IO как набор того, что они работали в любом количестве контейнеров Linux (VMs).
Согласно iptables-расширениям человека можно определить диапазон портов только при помощи - dport переключатель.
tcp
Эти расширения могут использоваться, если '-протокол tcp' указан. Это предоставляет следующие возможности:
[!] - целевой порт, - dport порт [: порт]
Целевой порт или порт спецификация диапазона. Флаг - dport является удобным псевдонимом для этой опции.
, Таким образом, это также указывает диапазон портов:
iptables -A INPUT -p tcp 1000:2000 -j ACCEPT
То, что вам сказали, верно, хотя вы написали это неправильно (вы забыли - dport ).
iptables -A INPUT -p tcp --dport 1000: 2000 откроет входящий трафик на TCP-порты с 1000 по 2000 включительно.
-m multiport - -dports требуется только в том случае, если диапазон, который вы хотите открыть, не является непрерывным, например -m multiport --dports 80,443 , который откроет только HTTP и HTTPS - не те, которые находятся между ними.
Обратите внимание, что порядок правил важен, и (как Иэн намекает в своем комментарии в другом месте) ваша задача - убедиться, что любое добавляемое вами правило находится в месте, где оно будет эффективным.
TL; DR, но ...
Чистый диапазон портов без многопортового модуля:
iptables -A INPUT -p tcp --dport 1000: 2000 -j ACCEPT
Эквивалентный многопортовый пример:
iptables -A INPUT -p tcp -m multiport --dports 1000: 2000 -j ACCEPT
... и вариант мультипорта с несколькими диапазонами (да, это тоже возможно):
iptables -A INPUT -p tcp -m multiport --dports 1000,1001,1002: 1500,1501: 2000 -j ACCEPT
... и эквивалентный пример многодиапазонного мультипорта с отрицанием:
iptables -A INPUT -p tcp -m multiport! --dports 0: 999,2001: 65535 -j ПРИНЯТЬ
Иметь фун.