Iptables

Od HLDS.pl
(Różnice między wersjami)
Skocz do: nawigacji, wyszukiwania
(+Blokowanie.)
 
Linia 8: Linia 8:
 
  iptables -F -t filter
 
  iptables -F -t filter
 
  iptables -X -t filter
 
  iptables -X -t filter
 
  
 
Oczywiście zanim coś zrobisz pomyśl, poczytaj [[RTFM]], zrób kopię i zapytaj swojego admina :)
 
Oczywiście zanim coś zrobisz pomyśl, poczytaj [[RTFM]], zrób kopię i zapytaj swojego admina :)
 +
 +
== Blokowanie ==
 +
Poniżej regułki do blokady komputerów zarażonych wirusami typu [[Blaster]] czy [[Sasser]]:
 +
 +
iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 [[porty|portu]]
 +
[...]
 +
iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP
 +
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 [[porty|portu]]
 +
[...]
 +
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP
 +
 +
Prócz tego warto także zablokować [http://www.cymru.com/Documents/bogon-bn-agg.txt te zakresy] w sposób podany poniżej:
 +
 +
iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
[...]
 +
iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
 +
No i prócz tego wszystkie przydało by się jeszcze:
 +
 +
iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
 +
 +
No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D.
 +
 
== Linki ==
 
== Linki ==
 
* [http://www.netfilter.org Strona oprogramowania]
 
* [http://www.netfilter.org Strona oprogramowania]

Aktualna wersja na dzień 21:03, 4 wrz 2006

iptables – prosty filtr pakietów dla linuksa z jądrem z serii 2.4 wzwyż, wykorzystywany głównie jako firewall.

Usuwanie istniejących reguł

Często podczas stawiania serwera do np.: Counter-Strike'a, okazuje się, że mogą być zablokowane porty. Najczęstszym, choć niekoniecznie najlepszym pomysłem jest całkowite usunięcie wszystkich reguł, po przez wpisanie poniższych komend:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

Oczywiście zanim coś zrobisz pomyśl, poczytaj RTFM, zrób kopię i zapytaj swojego admina :)

Blokowanie

Poniżej regułki do blokady komputerów zarażonych wirusami typu Blaster czy Sasser:

iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 portu
[...]
iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 portu
[...]
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP

Prócz tego warto także zablokować te zakresy w sposób podany poniżej:

iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
[...]
iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s

No i prócz tego wszystkie przydało by się jeszcze:

iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s

No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D.

Linki

Osobiste
Przestrzenie nazw
Warianty
Działania
HLDS.pl - Menu:
Inne
IRC
Inne sekcje:
Znajomi:
Narzędzia