Iptables
Od HLDS.pl
(Różnice między wersjami)
(+Blokowanie.) |
|||
(Nie pokazano 1 wersji utworzonej przez jednego użytkownika) | |||
Linia 9: | Linia 9: | ||
iptables -X -t filter | iptables -X -t filter | ||
+ | Oczywiście zanim coś zrobisz pomyśl, poczytaj [[RTFM]], zrób kopię i zapytaj swojego admina :) | ||
+ | |||
+ | == Blokowanie == | ||
+ | Poniżej regułki do blokady komputerów zarażonych wirusami typu [[Blaster]] czy [[Sasser]]: | ||
+ | |||
+ | iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 [[porty|portu]] | ||
+ | [...] | ||
+ | iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP | ||
+ | iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 [[porty|portu]] | ||
+ | [...] | ||
+ | iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP | ||
+ | |||
+ | Prócz tego warto także zablokować [http://www.cymru.com/Documents/bogon-bn-agg.txt te zakresy] w sposób podany poniżej: | ||
+ | |||
+ | iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | [...] | ||
+ | iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | |||
+ | No i prócz tego wszystkie przydało by się jeszcze: | ||
+ | |||
+ | iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s | ||
+ | |||
+ | No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D. | ||
− | |||
== Linki == | == Linki == | ||
* [http://www.netfilter.org Strona oprogramowania] | * [http://www.netfilter.org Strona oprogramowania] | ||
Linia 18: | Linia 45: | ||
[[kategoria:Linux]] | [[kategoria:Linux]] | ||
+ | [[kategoria:Oprogramowanie]] |
Aktualna wersja na dzień 21:03, 4 wrz 2006
iptables – prosty filtr pakietów dla linuksa z jądrem z serii 2.4 wzwyż, wykorzystywany głównie jako firewall.
Usuwanie istniejących reguł
Często podczas stawiania serwera do np.: Counter-Strike'a, okazuje się, że mogą być zablokowane porty. Najczęstszym, choć niekoniecznie najlepszym pomysłem jest całkowite usunięcie wszystkich reguł, po przez wpisanie poniższych komend:
iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter
Oczywiście zanim coś zrobisz pomyśl, poczytaj RTFM, zrób kopię i zapytaj swojego admina :)
Blokowanie
Poniżej regułki do blokady komputerów zarażonych wirusami typu Blaster czy Sasser:
iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 portu [...] iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 portu [...] iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP
Prócz tego warto także zablokować te zakresy w sposób podany poniżej:
iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s [...] iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
No i prócz tego wszystkie przydało by się jeszcze:
iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D.