Iptables

Od HLDS.pl
(Różnice między wersjami)
Skocz do: nawigacji, wyszukiwania
(Zalążek.)
 
(+Blokowanie.)
 
(Nie pokazano 2 wersji utworzonych przez jednego użytkownika)
Linia 2: Linia 2:
  
 
== Usuwanie istniejących reguł ==
 
== Usuwanie istniejących reguł ==
Często podczas stawiania [[serwer]]a do np.: [[Counter-Strike]]'a, okazuje się, że mogą być zablokowane [[porty]]. Najczęstszym, choć niekoniecznie najlepszym pomysłem jest całkowite usunięcie wszystkich reguł, po przez wpisanie poniższych komend:
+
Często podczas stawiania [[serwer]]a do np.: [[Counter-Strike]]'a, okazuje się, że mogą być zablokowane [[porty]]. Najczęstszym, choć <span style="color:red">niekoniecznie najlepszym</span> pomysłem jest całkowite usunięcie wszystkich reguł, po przez wpisanie poniższych komend:
  
 
  iptables -F -t nat
 
  iptables -F -t nat
Linia 8: Linia 8:
 
  iptables -F -t filter
 
  iptables -F -t filter
 
  iptables -X -t filter
 
  iptables -X -t filter
 +
 +
Oczywiście zanim coś zrobisz pomyśl, poczytaj [[RTFM]], zrób kopię i zapytaj swojego admina :)
 +
 +
== Blokowanie ==
 +
Poniżej regułki do blokady komputerów zarażonych wirusami typu [[Blaster]] czy [[Sasser]]:
 +
 +
iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 [[porty|portu]]
 +
[...]
 +
iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP
 +
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 [[porty|portu]]
 +
[...]
 +
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP
 +
 +
Prócz tego warto także zablokować [http://www.cymru.com/Documents/bogon-bn-agg.txt te zakresy] w sposób podany poniżej:
 +
 +
iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
[...]
 +
iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
 +
No i prócz tego wszystkie przydało by się jeszcze:
 +
 +
iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
 +
No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D.
  
 
== Linki ==
 
== Linki ==
Linia 13: Linia 42:
 
* [http://www.netfilter.org/documentation/HOWTO/pl/packet-filtering-HOWTO.html Filtrowanie pakietów]
 
* [http://www.netfilter.org/documentation/HOWTO/pl/packet-filtering-HOWTO.html Filtrowanie pakietów]
 
* [http://www.netfilter.org/documentation/HOWTO/pl/NAT-HOWTO.html Tworzenie NAT'a]
 
* [http://www.netfilter.org/documentation/HOWTO/pl/NAT-HOWTO.html Tworzenie NAT'a]
 +
 +
 +
[[kategoria:Linux]]
 +
[[kategoria:Oprogramowanie]]

Aktualna wersja na dzień 21:03, 4 wrz 2006

iptables – prosty filtr pakietów dla linuksa z jądrem z serii 2.4 wzwyż, wykorzystywany głównie jako firewall.

Usuwanie istniejących reguł

Często podczas stawiania serwera do np.: Counter-Strike'a, okazuje się, że mogą być zablokowane porty. Najczęstszym, choć niekoniecznie najlepszym pomysłem jest całkowite usunięcie wszystkich reguł, po przez wpisanie poniższych komend:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

Oczywiście zanim coś zrobisz pomyśl, poczytaj RTFM, zrób kopię i zapytaj swojego admina :)

Blokowanie

Poniżej regułki do blokady komputerów zarażonych wirusami typu Blaster czy Sasser:

iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 portu
[...]
iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 portu
[...]
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP

Prócz tego warto także zablokować te zakresy w sposób podany poniżej:

iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
[...]
iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s

No i prócz tego wszystkie przydało by się jeszcze:

iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s

No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D.

Linki

Osobiste
Przestrzenie nazw
Warianty
Działania
HLDS.pl - Menu:
Inne
IRC
Inne sekcje:
Znajomi:
Narzędzia