Как работает Iptables?

Question

[Сергей Васильев]

Здравствуйте товарищи умные люди. Есть такое правило:

-A PREROUTING -d 0.0.0.0/32 -i eth0 -p tcp -m tcp ! --dport 22 -j DNAT --to-destination 10.200.1.5

Как можно заменить порт 22 на порт 22 + диапазон портов 1100-1200, пробовал подставить 22,1100:1200, не получилось.

Сразу второй вопрос. Посложнее. Как через iptables перенаправить UDP трафик с x.x.x.x:N на y.y.y.y:N, при чем N - это определенный одинаковый порт из диапазона 1100-1200, неужели для каждого порта писать отдельную строчку?

Answer 1

[hint000]

второй вопрос. Посложнее.

На самом деле не сложнее, гуглится за 10 секунд:
https://serverfault.com/questions/594835/what-is-t...

-A PREROUTING -d x.x.x.x -p udp --dport 1100:1200 -j DNAT --to-destination y.y.y.y

А по первому вопросу попробуйте так

-A PREROUTING -i eth0 -p tcp -m multiport ! --dports 22,1100:1200 -j DNAT --to-destination 10.200.1.5

Не уверен, что проканает multiport с отрицанием, попробуйте, если не проканает, то придумаем другой вариант.
(фрагмент -d 0.0.0.0/32 я выкинул, как не несущий смысла)

Upd.:
Вариант с multiport без отрицания:

-A PREROUTING -i eth0 -p tcp -m multiport --dports 1:21,23:1100,1200:65535 -j DNAT --to-destination 10.200.1.5

Вариант без multiport и без отрицания, уже приходится раскидывать на три правила вместо одного:

-A PREROUTING -i eth0 -p tcp --dport 1:21 -j DNAT --to-destination 10.200.1.5
-A PREROUTING -i eth0 -p tcp --dport 23:1100 -j DNAT --to-destination 10.200.1.5
-A PREROUTING -i eth0 -p tcp --dport 1200:65535 -j DNAT --to-destination 10.200.1.5

Upd.:
Здесь говрится, что multiport не принимает одновременно список и диапазон: https://www.opennet.ru/base/net/iptables_treasures... вместо него предлагается расширение mport

-A PREROUTING -i eth0 -p tcp -m mport ! --dports 22,1100:1200 -j DNAT --to-destination 10.200.1.5