ลดความซับซ้อนของชุดกฎ iptables

ฉันต้องการลดความซับซ้อนของกฎ IPTABLES ปัจจุบันที่ตั้งไว้สำหรับเมลเซิร์ฟเวอร์ของฉัน ฉันใช้ IPSET เพื่อสร้างรายการที่อยู่ IP จำนวนมากเพื่อบล็อก จากนั้นอ้างอิงรายการนั้นใน iptables อย่างไรก็ตาม ในกรณีของฉันมีเพียง 5 เครือข่ายย่อยที่ต้องสื่อสารกับเซิร์ฟเวอร์อีเมล ดังนั้นฉันคิดว่าการบล็อกการเข้าถึงทั้งหมดอาจง่ายกว่า แล้วจึงอนุญาตเฉพาะเครือข่ายย่อยที่จำเป็นอย่างชัดเจน สมมติว่า 5 เครือข่ายย่อยคือ 1.1.1.0/24, 2.2.2.0/24, 3.3.3.0/24, 4.4.4.0/24 และ 5.5.50/24 ฉันไม่กังวลเกี่ยวกับการตอกทราฟฟิกไปยังพอร์ตเฉพาะ เพราะฉันควบคุมอุปกรณ์บนซับเน็ตเหล่านี้ ใครช่วยแนะนำการกำหนดค่า iptables พื้นฐานเพื่อทำสิ่งนี้ให้สำเร็จได้ไหม

ขอขอบคุณ, เควิน

ควรมีลักษณะเช่นนี้ ฉันได้ตั้งชื่อเครือข่ายย่อยทั้ง 5 ของคุณเป็น Subnet-X.X.X.X

-A INPUT -m set --match-set Subnet-1.1.1.1 src -j ยอมรับ
-A INPUT -m set --match-set Subnet-2.2.2.2 src -j ยอมรับ
-A INPUT -m set --match-set Subnet-3.3.3.3 src -j ยอมรับ
-A INPUT -m set --match-set Subnet-4.4.4.4 src -j ยอมรับ
-A INPUT -m set --match-set Subnet-5.5.5.5 src -j ยอมรับ
-A อินพุต -j DROP

ตรวจสอบให้แน่ใจว่า IP ต้นทางของคุณรวมอยู่ในซับเน็ตเหล่านี้ มิฉะนั้นแพ็กเก็ตของคุณจะถูกทิ้ง หรือคุณอาจเพิ่มกฎอื่นและในกรณีที่ IP ของคุณเป็นแบบคงที่ ให้กำหนด IP ของคุณเป็นแหล่งที่มาที่ยอมรับ

นอกจากนี้ ตรวจสอบให้แน่ใจว่าสามารถเข้าถึงคอนโซลได้ ในกรณีที่มีสิ่งผิดพลาด ให้ล้างกฎ iptables ของคุณ

ขอบคุณมากสำหรับคำตอบของคุณ. ที่จริงฉันไม่ต้องการใช้ ipset ดังนั้นฉันจึงสามารถกำหนดค่าให้ง่ายที่สุด ตัวอย่างเช่น ต่อไปนี้จะใช้งานได้หรือไม่

-A อินพุต -s 1.1.1.0/24 -j ยอมรับ

-A อินพุต -s 2.2.2.0/24 -j ยอมรับ

-A อินพุต -s 3.3.3.0/24 -j ยอมรับ

-A อินพุต -s 4.4.4.0/24 -j ยอมรับ

-A อินพุต -s 5.5.5.0/24 -j ยอมรับ

-A อินพุต -j DROP

ฉันขอโทษสำหรับคำถามที่อาจเป็นคำถามพื้นๆ แต่นี่เป็นเซิร์ฟเวอร์ที่ใช้งานจริงและฉันต้องการระมัดระวังให้มาก

ขอบคุณเควิน