我要实现这样的一个功能:内网的IP在192.168.18.30-192.168.18.35 范围内的机器不能访问外网的116.255.159.105-116.255.159.107这个IP段的机器,我使用了下面的IPTABLES语句,执行后还是一样可以拼通外网116.255.159.105-116.255.159.107的IP.不知道错在哪里.请大家帮忙.

iptables -I INPUT -p TCP -m multiport --source-ports 0:65535 -m multiport --destination-ports 0:65535 -m iprange --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107   -m time --timestart 00:00 --timestop 23:59:59  -j DROP

你不是全部禁止么 那还有必要指定端口范围和时间范围吗？！
你要明白的是ping使用的icmp协议 并不是tcp和udp
你只是把tcp的连接禁止了  ping当然还是通的  同样 要是udp的连接 一样是OK的

-m time --timestart 00:00 --timestop 23:59:59这个条件,完全多余

学习

一楼说得对，你先用netstat试试再说

-m multiport --source-ports 0:65535 -m multiport --destination-ports 0:65535 《－ 完全多余。
-m time --timestart 00:00 --timestop 23:59:59  《－ 也完全多余。
-p TCP 《－ 是要阻断所有协议，不仅仅是TCP，应该用 -p all
-I INPUT 《- 既然是数据包是路由转发到外网的，就不会经过INPUT链，应该用 -I FORWARD
综上：
iptables -A FORWARD -p all -m iprange --src-range 192.168.18.30-192.168.18.35  --dst-range 116.255.159.105-116.255.159.107 -j DROP

对这些一直不是很懂，学习了

iptables -I INPUT -m iprange -src --src-range 192.168.18.30-192.168.18.35 --dst-range 116.255.159.105-116.255.159.107 -j DROP

配置之后，使用iptables -L查看命令是否配置进去，以及新配置的命令所在的次序是否正确。

1)既然是对应IP地址段的，个人认为在配置中写入端口是多余的；
2）在配置前建议使用iptables -L命令查看一下当前的设置。以免将要进行的设置与以前的配置冲突。我一般的做法是先使用命令iptables -F把所有配置清空，然后再配置相应的规则；
3）配置完后，再使用iptables -L查看配置是否成功。一定要注意，输入规则的先后顺序对于防火墙的最终效果是有直接影响的。因此一定要注意配置规则输入的顺序。