linux 限制一个程序申请随机端口的范围

#!/usr/bin/env bash

# 获取网卡名字，用于后面添加路由
NEW_CARD_NAME=`ip route show | awk '/default via/ {print $5}'`

# 创建一个网络命名空间 用于隔离网络 起名叫 myspace
ip netns add myspace

# 创建 虚拟网卡用于 NAT 并且绑定 veth2 到 myspace 这里用的 41.x 网段 添加 myspace 的 veth2 默认路由到 veth1
ip link add veth1 type veth peer name veth2	
ip link set veth2 netns myspace
ip addr add 192.168.41.2/24 dev veth1
ip link set veth1 up
ip netns exec myspace ip addr add 192.168.41.3/24 dev veth2
ip netns exec myspace ip link set veth2 up
ip netns exec myspace ip route add default via 192.168.41.2

# 开启内核网络转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -p

# 根据网卡名字设置 NAT 
iptables -t nat -A POSTROUTING -s 192.168.41.0/24 -o ${NEW_CARD_NAME} -j MASQUERADE	
iptables -t filter -A FORWARD -i ${NEW_CARD_NAME}  -o veth1 -j ACCEPT
iptables -t filter -A FORWARD -o ${NEW_CARD_NAME}  -i veth1 -j ACCEPT

# 限制端口范围 在 60000-60200
# 宿主机端口 NAT 到 veth2 所在的 myspace
iptables -t nat -A PREROUTING -p udp --dport 60000:60200 -j DNAT --to-destination 192.168.41.3:60000-60200
ip netns exec myspace /usr/sbin/sysctl -w net.ipv4.ip_local_port_range="60000 60200"

# 执行被限制的程序
ip netns exec myspace 目标程序路径