Wiki source for LinuxIptables
=====iptables=====
Banning2002, S. 424
====Kommandos====
iptables
iptables-save
====Auflisten====
Regeln auflisten
%%(bash)
iptables -L
%%
====Verwerfen====
%%(bash)
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 443 -j DROP
%%
icmp Pakete die von 192.168.0.3 kommen blocken
%%(bash)
iptables -A INPUT -s 192.168.0.3 -p icmp -j DROP
%%
Regel wieder aufheben
%%(bash)
iptables -D INPUT -s 192.168.0.3 -p icmp -j DROP
%%
Alle pakete von 192.168.1.2 verwerfen
%%(bash)
iptables -A INPUT -s 192.168.1.2 -j DROP
%%
Alle pakete von xyz.domain.org verwerfen
%%(bash)
iptables -A INPUT -s xyz.domain.org -j DROP
%%
Port 25 für tcp sperren
%%(bash)
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port smtp -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 9 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 13 -j DROP
%%
Nur das Netz 192.168.0.1/24 für SSH zulassen
%%(bash)
iptables -A INPUT -s 192.168.0.1/24 -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 22 -j DROP
%%
alternativ
%%(bash)
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
%%
Port 445 für Rechner 192.168.0.5 sperren
%%(bash)
iptables -A INPUT -s 192.168.0.5 -p tcp --destination-port 445 -j DROP
%%
192.168.0.0/24 <-- ROUTER --> 192.168.1.0/24
Port 25 des Rechners 192.168.1.2 über den Router schützen
%%(bash)
iptables -A FORWARD -d 192.168.1.2 -p tcp --destination-port 25 -j DROP
%%
Kein Routing(Forwarding) für Rechner 192.168.1.2
%%(bash)
iptables -A FORWARD -d 192.168.1.2 -j DROP
%%
====Regeln aufheben====
Inpunt-Regel Nr 1 aufheben (geht nur wenn dies die erste ...)
%%(bash)
iptables -D INPUT 1
%%
Alle Regeln einer Kette löschen
%%(bash)
iptables -F INPUT
%%
====Policy====
Policy ändern
%%(bash)
iptables -P FORWARD ACCEPT
%%
oder
%%(bash)
iptables -P FORWARD DENY
%%
====Einfügen====
Eine regel an der ersten stelle beim INPUT-Filter einfügen
%%(bash)
iptables -I INPUT 1 ......
%%
Nur eingehende tcp-Verbindungen unterbinden
%%(bash)
iptables -A INPUT -p tcp --syn -j DROP
%%
====Loggen====
Pakete loggen
%%(bash)
iptables -A FORWARD -d 192.168.1.2 -p tcp --syn -j LOG --log-prefix "IBM Connection request: "
%%
Netzwerkpakete protokollieren
http://www.linux-fuer-alle.de/doc_show.php?docid=148&catid=11
====Limits====
%%
-m limit --limit 200/minute --limit-burst 200
%%
%%
-m connlimit --connlimit-above 15 --connlimit-mask 32
%%
----
Siehe auch {{backlinks}}
Banning2002, S. 424
====Kommandos====
iptables
iptables-save
====Auflisten====
Regeln auflisten
%%(bash)
iptables -L
%%
====Verwerfen====
%%(bash)
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 443 -j DROP
%%
icmp Pakete die von 192.168.0.3 kommen blocken
%%(bash)
iptables -A INPUT -s 192.168.0.3 -p icmp -j DROP
%%
Regel wieder aufheben
%%(bash)
iptables -D INPUT -s 192.168.0.3 -p icmp -j DROP
%%
Alle pakete von 192.168.1.2 verwerfen
%%(bash)
iptables -A INPUT -s 192.168.1.2 -j DROP
%%
Alle pakete von xyz.domain.org verwerfen
%%(bash)
iptables -A INPUT -s xyz.domain.org -j DROP
%%
Port 25 für tcp sperren
%%(bash)
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port smtp -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 9 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 13 -j DROP
%%
Nur das Netz 192.168.0.1/24 für SSH zulassen
%%(bash)
iptables -A INPUT -s 192.168.0.1/24 -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --destination-port 22 -j DROP
%%
alternativ
%%(bash)
iptables -A INPUT -s ! 192.168.0.1/24 -p tcp --destination-port 22 -j DROP
%%
Port 445 für Rechner 192.168.0.5 sperren
%%(bash)
iptables -A INPUT -s 192.168.0.5 -p tcp --destination-port 445 -j DROP
%%
192.168.0.0/24 <-- ROUTER --> 192.168.1.0/24
Port 25 des Rechners 192.168.1.2 über den Router schützen
%%(bash)
iptables -A FORWARD -d 192.168.1.2 -p tcp --destination-port 25 -j DROP
%%
Kein Routing(Forwarding) für Rechner 192.168.1.2
%%(bash)
iptables -A FORWARD -d 192.168.1.2 -j DROP
%%
====Regeln aufheben====
Inpunt-Regel Nr 1 aufheben (geht nur wenn dies die erste ...)
%%(bash)
iptables -D INPUT 1
%%
Alle Regeln einer Kette löschen
%%(bash)
iptables -F INPUT
%%
====Policy====
Policy ändern
%%(bash)
iptables -P FORWARD ACCEPT
%%
oder
%%(bash)
iptables -P FORWARD DENY
%%
====Einfügen====
Eine regel an der ersten stelle beim INPUT-Filter einfügen
%%(bash)
iptables -I INPUT 1 ......
%%
Nur eingehende tcp-Verbindungen unterbinden
%%(bash)
iptables -A INPUT -p tcp --syn -j DROP
%%
====Loggen====
Pakete loggen
%%(bash)
iptables -A FORWARD -d 192.168.1.2 -p tcp --syn -j LOG --log-prefix "IBM Connection request: "
%%
Netzwerkpakete protokollieren
http://www.linux-fuer-alle.de/doc_show.php?docid=148&catid=11
====Limits====
%%
-m limit --limit 200/minute --limit-burst 200
%%
%%
-m connlimit --connlimit-above 15 --connlimit-mask 32
%%
----
Siehe auch {{backlinks}}
