iptables


Banning2002, S. 424

Kommandos


iptables
iptables-save


Auflisten


Regeln auflisten
iptables -L



Verwerfen


iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 443 -j DROP


icmp Pakete die von 192.168.0.3 kommen blocken
iptables -A INPUT -s 192.168.0.3 -p icmp -j DROP


Regel wieder aufheben
iptables -D INPUT -s 192.168.0.3 -p icmp -j DROP


Alle pakete von 192.168.1.2 verwerfen
iptables -A INPUT -s 192.168.1.2 -j DROP


Alle pakete von xyz.domain.org verwerfen
iptables -A INPUT -s xyz.domain.org -j DROP


Port 25 für tcp sperren
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port smtp -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 9 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 13 -j DROP


Nur das Netz 192.168.0.1/24 für SSH zulassen
iptables -A INPUT -s 192.168.0.1/24 -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 22 -j DROP


alternativ
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP


Port 445 für Rechner 192.168.0.5 sperren
iptables -A INPUT -s 192.168.0.5 -p tcp --destination-port 445 -j DROP



192.168.0.0/24 <-- ROUTER → 192.168.1.0/24

Port 25 des Rechners 192.168.1.2 über den Router schützen
iptables -A FORWARD -d 192.168.1.2  -p tcp --destination-port 25 -j DROP


Kein Routing(Forwarding) für Rechner 192.168.1.2
iptables -A FORWARD -d 192.168.1.2 -j DROP



Regeln aufheben


Inpunt-Regel Nr 1 aufheben (geht nur wenn dies die erste ...)
iptables -D INPUT 1


Alle Regeln einer Kette löschen
iptables -F INPUT


Policy


Policy ändern
iptables -P FORWARD ACCEPT


oder
iptables -P FORWARD DENY



Einfügen


Eine regel an der ersten stelle beim INPUT-Filter einfügen
iptables -I INPUT 1 ......


Nur eingehende tcp-Verbindungen unterbinden
iptables -A INPUT -p tcp --syn -j DROP



Loggen


Pakete loggen
iptables -A FORWARD -d 192.168.1.2  -p tcp --syn -j LOG --log-prefix "IBM Connection request: "




Netzwerkpakete protokollieren
http://www.linux-fuer-alle.de/doc_show.php?docid=148&catid=11

Limits


-m limit --limit 200/minute --limit-burst 200


-m connlimit --connlimit-above 15 --connlimit-mask 32



Siehe auch

There are no comments on this page. [Add comment]

Valid XHTML 1.0 Transitional :: Valid CSS :: Powered by WikkaWiki