Множественные IP-адреса в iptables

[sonny363]

Коллеги, нужен совет по правилам в iptables.
На одном из серверов хочу ограничить доступ по http(s) - чтобы порты были открыты только для конкретного пула IP-адресов. Беда в том, что этих IP довольно много: десятка три.

Настрогать шесть десятков разрешающих правил в iptables, конечно, можно, но как-то нефэншуйно совсем.
Подскажите, есть ли механизм "группового" разрешения доступа?
Адреса все из разных сетей, поэтому разрешать надо именно адреса, а не сети.
Переход с iptables на nftables или что иное - не предлагать. Мне проще плюнуть и правила настрогать, чем изучать новый интерфейс.

[dzhoser]

Это возможно только в том случае, если  необходимый IP-адрес источника в непрерывном диапазоне. например

Код Выделить Развернуть

iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.5 -p tcp -j ACCEPT
Если нет наверное нужно писать несколько правил

[sonny363]

dzhoser,как я писал, адреса все из разных сетей (разные провайдеры в разных населённых пунктах). Видимо, придётся, да

[315th]

ipset используйте. Тысяча лет уже как можно 

Код Выделить Развернуть

ipset create myset hash:ip
for i in $(cat ipaddr.txt); do ipset -A myset $i; done
iptables -t $table -A INPUT -p tcp -m multiport --dports portA,portB,portC -m set ! --match-set myset src -j DROPНу, например.

[sonny363]

ipset используйте. Тысяча лет уже как можно 

Код Выделить Развернуть

ipset create myset hash:ip
for i in $(cat ipaddr.txt); do ipset -A myset $i; done
iptables -t $table -A INPUT -p tcp -m multiport --dports portA,portB,portC -m set ! --match-set myset src -j DROPНу, например.

Спасибо, попробую.