Iptables

Od HLDS.pl
Wersja PawelS (dyskusja | edycje) z dnia 21:03, 4 wrz 2006
(różn.) ← poprzednia wersja | zobacz aktualną wersję (różn.) | następna wersja → (różn.)
Skocz do: nawigacji, wyszukiwania

iptables – prosty filtr pakietów dla linuksa z jądrem z serii 2.4 wzwyż, wykorzystywany głównie jako firewall.

Usuwanie istniejących reguł

Często podczas stawiania serwera do np.: Counter-Strike'a, okazuje się, że mogą być zablokowane porty. Najczęstszym, choć niekoniecznie najlepszym pomysłem jest całkowite usunięcie wszystkich reguł, po przez wpisanie poniższych komend:

iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

Oczywiście zanim coś zrobisz pomyśl, poczytaj RTFM, zrób kopię i zapytaj swojego admina :)

Blokowanie

Poniżej regułki do blokady komputerów zarażonych wirusami typu Blaster czy Sasser:

iptables -t filter -A FORWARD -p tcp -m tcp --dport 135 -j DROP # do 139 portu
[...]
iptables -t filter -A FORWARD -p tcp -m tcp --dport 445 -j DROP
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 135 -j DROP # do 139 portu
[...]
iptables -t filter -A INPUT -i eth0 -p tcp -m tcp --dport 445 -j DROP

Prócz tego warto także zablokować te zakresy w sposób podany poniżej:

iptables -t filter -A FORWARD -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -s 0.0.0.0/7 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
[...]
iptables -t filter -A FORWARD -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -s 255.255.255.255/32 -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s

No i prócz tego wszystkie przydało by się jeszcze:

iptables -t filter -A FORWARD -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A FORWARD -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -i eth0 -m state --state INVALID -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s
iptables -t filter -A INPUT -i eth0 -m state --state NEW -j DROP # opcjonalnie parametr -i z nazwą sieciówki, np.: eth0, przed -s

No i to by były wszystkie najczęstsze śmieci, które latają po internecie i robią syf :D.

Linki

Osobiste
Przestrzenie nazw
Warianty
Działania
HLDS.pl - Menu:
Inne
IRC
Inne sekcje:
Znajomi:
Narzędzia