linux - iptables - 多端口规则链退出并拆分为多个单端口链

Question

标题可能不是很有帮助(抱歉)。这是我希望实现的目标的更好解释。我对 iptables 的使用相对较新，但对这些概念有很好的理解。然而，我还没有在网上找到一个很好的例子来说明我的要求。

为了进行一些暴力入侵缓解，我有一个包含覆盖多个端口的规则的链(该规则最初是从 this blog 劫持的):

-A INPUT -p tcp -m multiport -dports 21,22,110,143 -m state --state new -j INTR_CHECK
-A INTR_CHECK -m recent --set --name INTRS --rsource
-A INTR_CHECK -m recent --update --seconds 600 --hitcount 15 --name INTRS --rsource -j INTRUSION
-A INTR_CHECK -m recent --update --seconds 60 --hitcount 5 --name INTRS --rsource -j INTRUSION
-A INTR_CHECK -j [[break out to new chains vs ACCEPT]?]

我想看到的是 {21,22,110,143} 中每个端口的一组链，因为我已经(冗长)建立了允许特定主机/网络使用 FTP 和 SSH 的链。如果我在每个 dport 的 INTR_CHECK 链中放置单行并将它们路由到现有链是否可以通过？例如，如果我将其附加到上面的规则中:

-A INTR_CHECK (-m state --state NEW) -p tcp -m tcp -dport  22 -j SSHD_IN
-A INTR_CHECK (-m state --state NEW) -p tcp -m tcp -dport  21 -j FTP_IN
-A INTR_CHECK (-m state --state NEW) -p tcp -m tcp -dport 110 -j POP3_IN
-A INTR_CHECK (-m state --state NEW) -p tcp -m tcp -dport 143 -j IMAP_IN

我还想知道是否需要仅将状态指示为新数据包，因为 RELATED 和 ESTABLISHED 在常用规则中被一揽子接受

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

任何指导或经验教训将不胜感激。谢谢。

Answer 1

我能够使用我的问题中假设的解决方案中的想法来解决这个问题。作为信息共享。

-A INTR_CHECK -p tcp -m tcp --dport 22 -j SSHD_IN
-A INTR_CHECK -p tcp --syn --dport 25 -j SMTP_IN

#further down
-A SSHD_IN -s 1.2.3.0/24 -j ACCEPT
#other SSHD rules

#further still
-A SMTP_IN -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
-A SMTP_IN -p tcp --syn -j DROP