iptables
Banning2002, S. 424
Kommandos
iptables
iptables-save
Auflisten
Regeln auflisten
iptables -L
Verwerfen
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 443 -j DROP
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 443 -j DROP
icmp Pakete die von 192.168.0.3 kommen blocken
iptables -A INPUT -s 192.168.0.3 -p icmp -j DROP
Regel wieder aufheben
iptables -D INPUT -s 192.168.0.3 -p icmp -j DROP
Alle pakete von 192.168.1.2 verwerfen
iptables -A INPUT -s 192.168.1.2 -j DROP
Alle pakete von xyz.domain.org verwerfen
iptables -A INPUT -s xyz.domain.org -j DROP
Port 25 für tcp sperren
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port smtp -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 9 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 13 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 9 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 13 -j DROP
Nur das Netz 192.168.0.1/24 für SSH zulassen
iptables -A INPUT -s 192.168.0.1/24 -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 22 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 22 -j DROP
alternativ
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
Port 445 für Rechner 192.168.0.5 sperren
iptables -A INPUT -s 192.168.0.5 -p tcp --destination-port 445 -j DROP
192.168.0.0/24 <-- ROUTER --> 192.168.1.0/24
Port 25 des Rechners 192.168.1.2 über den Router schützen
iptables -A FORWARD -d 192.168.1.2 -p tcp --destination-port 25 -j DROP
Kein Routing(Forwarding) für Rechner 192.168.1.2
iptables -A FORWARD -d 192.168.1.2 -j DROP
Regeln aufheben
Inpunt-Regel Nr 1 aufheben (geht nur wenn dies die erste ...)
iptables -D INPUT 1
Alle Regeln einer Kette löschen
iptables -F INPUT
Policy
Policy ändern
iptables -P FORWARD ACCEPT
oder
iptables -P FORWARD DENY
Einfügen
Eine regel an der ersten stelle beim INPUT-Filter einfügen
iptables -I INPUT 1 ......
Nur eingehende tcp-Verbindungen unterbinden
iptables -A INPUT -p tcp --syn -j DROP
Loggen
Pakete loggen
iptables -A FORWARD -d 192.168.1.2 -p tcp --syn -j LOG --log-prefix "IBM Connection request: "
Netzwerkpakete protokollieren
http://www.linux-fuer-alle.de/doc_show.php?docid=148&catid=11
Limits
-m limit --limit 200/minute --limit-burst 200
-m connlimit --connlimit-above 15 --connlimit-mask 32
Siehe auch