IPTABLES로 IP 범위 지정하기..

원래 들어있는 iptables 만으로도 기본적인 기능을 사용하는데는 전혀 문제가 없지만
실제 방화벽을 운영하거나 좀더 확장된 기능을 사용하고자 할때에는 부족함이 있습니다.
이를 위해서 patch-o-magic(‘p-o-m')으로 커널및 iptables 패치를 하면
정식커널에는 포함되어 있지않은 iptables 와 관련된 버그픽스및
더욱 확장된 방화벽기능을 선택하여 사용할수 있게 되는데,
patch-o-magic 으로 커널을 패치하여 사용할수 있습니다

iptables-1.2.7부터 patch-o-magic 이 별도의 패키지로 배포됩니다.

설치는  http://www.netfilter.org/download.html 에서 patch-o-magic 을 다운로드하여 압축을 풉니다. patch-o-magic 은 구버전의 커널에서 사용되며
최근의 커널에서는 patch-o-magic-ng를 다운로드 하면 됩니다.
이후, patch-o-magic-ng-200xxxxxx/ 디렉토리에서 ./runme --help 를 실행하면 사용할수 있는 옵션을 보여줍니다

-----------------------------------------------------------------
 [root@tsc13 /usr/local/src/iptables/patch-o-matic-ng-20050224]
# ./runme --help
Usage:
    ./runme [--batch] [--reverse] [--exclude suite/patch-dir ]
    suite|suite/patch-dir

Options:
    --batch 배치모드로 자동으로 패치를 적용한다.

    --test  테스트모드로 자동으로 패치를 테스트한다.

    --check 체크모드로 이미 패치가 되었는지 여부를 자동으로 체크한다

    --reverse
            선택한 패치를 취소한다

    --exclude suite/patch-dir
            해당이름의 패치는 제외한다

    --help  print a help message

    --man   print the whole manpage

    --kernel-path
            커널의 소스 디렉토리 경로를 지정한다

    --iptables-path
            iptables 소스 디렉토리 경로를 지정한다

-----------------------------------------------------------

./runme 를 실행하고 나면

아래처럼 간단한 설명과 함께 예제가 제공되는데 이 기능을 커널에 포함시키고자 할때에는 먼저 t를 입력해서 패치를 적용해도 문제가 없는지 확인한후에 y를 입력하여 선택하도록 합니다.

그중에서 mport 패치를 이용하면 복수개의 포트를 사용할수 있습니다.

#base/mport patch

이 설정은 같은룰을 여러 포트에 반복적으로 설정하여야 할 경우 유용하게 사용할수 있습니다.
이를테면 한 IP 대역에 대해 여러포트를 허용하거나 거부하여야 할 경우
반복적으로 여러포트를 명시해야 하는데, mport를 이용하면 간단히 표현할수 있습니다.

#iptables -A FORWARD -p tcp -m mport --ports 23:42,65 -j ACCEPT

위 설정은 tcp 23번 부터 42번까지 그리고 65번 포트를 허용하는 예를 보여주고 있습니다.

위의내용은 리눅스 서버관리 실무보안(슈퍼유저코리아) 에서 보다 상세하게 설명하고 있습니다