See artikkel on masintõlke peegelartikkel, palun klõpsake siia, et hüpata algse artikli juurde.

Architect_Programmer_Code Põllumajandusvõrgustik»Arhitekt Muud tehnoloogiad Windows/Linux iptable'i tulemüür lubab ainult teatud IP-aadressil pääseda konkreetsele pordile ja konkreetsele veebisaidile ...
Vaade: 14541|Vastuse: 1

[linux] IPtables Firewall lubab pääseda ligi ainult teatud IP-aadressidel teatud portidele ja kindlatele veebisaitidele

[Kopeeri link]
Postitatud 17.12.2015 22:02:49 | | |
1. Varundage esmalt iptables

# cp /etc/sysconfig/iptables /var/tmp
Pead avama port 80 ja määrama IP- ja LAN-aadressi
Järgmise kolme rea tähendus:
Sulge kõigepealt kõik pordid 80
Ava 80 pordi IP segmendis 192.168.1.0/24
Ava 80 porti 211.123.16.123/24 IP segmendi IP-segmendist
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Ülaltoodud on ajutine keskkond.
2. Siis salvesta iptables
# Service iptables salvesta
3. Taaskäivita tulemüür
#service iptablesi taaskäivitamine
===============Järgmine on kordustrükk ================================================
Järgnevalt on pordid, kõik need on blokeeritud enne, kui mõned IP-d avatakse
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Kui kasutatakse NAT-edastamist, pea meeles teha koostööd järgmistega, et see jõustuks
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT


Levinumad IPTABLES reeglid on järgmised:
Sa saad ainult e-kirju saata ja vastu võtta, kõik muu on suletud
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT

IPSEC NAT-poliitika
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.2:4500

NAT FTP serveri jaoks
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.200:21

Lubatud on ainult määratud URL
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.3322.org -j ACCEPT
iptables -A Filter -d img.cn99.com -j NÕUSTU
iptables -A filter -j DROP

Mõned IP pordid on avatud, teised suletud
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A filter -j DROP

Mitmed portid
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j REJECT

Pidev port
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j REJECT

Määra aeg, millal internetis surfamiseks
iptables -Filter -s 10.10.10.253 -m aeg --aeg algab 6:00 --timestop 11:00 --päevad Esmaspäev, teisipäev, kolmapäev, neljapäev, reede, laupäev, pühapäev -j DROP
iptables -Filter -m aeg --aeg algus 12:00 ---ajapeatus 13:00 --päevad Esmaspäev, teisipäev, kolmapäev, neljapäev, reede, laupäev, pühapäev -j NÕUSTUN
iptables -A filter -m aeg --aeg algus 17:30 --ajapeatus 8:30 --päevad Esmaspäev, Teisipäev, Kolmapäev, Neljapäev, Reede, Laupäev, Pühapäev -j NÕUSTUN
Mitme pordi teenused on keelatud
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT

NAT WAN-porti arvutisse
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

NAT port 8000 kuni 192. 168。 100。 200 sadamat 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.200:80

Port, mida MAIL-server soovib edasi suunata
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --sihtkohta 192.168.100.200:25

Lubatud on ainult PING 202. 96。 134。 133. Muud teenused on keelatud
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A filter -j DROP
Keela BT konfiguratsioon
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Keela QQ tulemüüri konfiguratsioon
iptables -A filter -p udp --dport ! 53 -j DROP
iptables -A filter -d 218.17.209.0/24 -j DROP
iptables -A filter -d 218.18.95.0/24 -j DROP
iptables -A filter -d 219.133.40.177 -j DROP
MAC-i alusel saab see saata ja vastu võtta ainult e-kirju ning kõik teised tagasi lükata
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Keela MSN konfiguratsioon
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Lubatud on ainult PING 202. 96。 134。 133 PING ei ole lubatud teistel avalikel võrgu IP-del
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
Keelata MAC-aadressil internetti pääsemine:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping IP-aadressile:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Keelata IP-aadressil teenindada:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Lubatud on ainult teatud teenused, teised lükatakse tagasi (2 reeglit)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A filter -j DROP
IP-aadressi portiteenus on keelatud
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Keela portiteenus MAC-aadressile
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Keelata MAC-aadressil internetti pääsemine:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping IP-aadressile:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP




Eelmine:Kas on parem paigaldada WordPress Linuxi alla koos Apache või Nginxiga?
Järgmine:Erinevus baidi ja sõna vahel

Seotud postitused
 Üürileandja| Postitatud 17.12.2015 22:16:55 |
iptables -I INPUT -p tcp --dport 3306 -j DROP
Teenuse Iptables salvestamine
Teenuse Iptables taaskäivitamine
Disclaimer:
Kõik Code Farmer Networki poolt avaldatud tarkvara, programmeerimismaterjalid või artiklid on mõeldud ainult õppimiseks ja uurimistööks; Ülaltoodud sisu ei tohi kasutada ärilistel ega ebaseaduslikel eesmärkidel, vastasel juhul kannavad kasutajad kõik tagajärjed. Selle saidi info pärineb internetist ning autoriõiguste vaidlused ei ole selle saidiga seotud. Ülaltoodud sisu tuleb oma arvutist täielikult kustutada 24 tunni jooksul pärast allalaadimist. Kui sulle programm meeldib, palun toeta originaaltarkvara, osta registreerimist ja saa paremaid ehtsaid teenuseid. Kui esineb rikkumist, palun võtke meiega ühendust e-posti teel.
Mail To:help@itsvse.com