zapora iptables pozwala tylko wybranym adresom IP na dostęp do wybranych portów i konkretnych stron internetowych

Mały śmiecie · Opublikowano 17.12.2015 22:02:49

1. Najpierw wykonaj kopię zapasową iptables

# cp /etc/sysconfig/iptables /var/tmp
Musisz otworzyć port 80 i podać adres IP oraz LAN
Znaczenie następujących trzech wersów:
Najpierw zamknij wszystkie porty o 80 stopni
Otwórz 80 portów na segmencie IP 192.168.1.0/24
Otwórz 80 portów segmentu IP segmentu IP 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Powyższe to tymczasowe oprawienie.
2. Następnie zapisz iptables
# zapisz usługi iptables
3. Zrestartuj zaporę
#service iptables się restartuje
===============Poniżej znajduje się wznowienie ================================================
Poniżej przedstawiono porty, wszystkie są zablokowane przed otwarciem niektórych adresów IP
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Jeśli stosuje się przekierowanie NAT, pamiętaj o współpracy z następującymi zasadami, aby weszły w życie
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

Najczęściej stosowane zasady IPTABLES to:
Możesz tylko wysyłać i odbierać e-maile, wszystko inne jest zamknięte
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -i Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -i Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -i Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT

Polityka IPSEC NAT
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500

NAT dla serwera FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21

Dozwolony jest tylko określony adres URL
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filtr -d www.3322.org -j ACCEPT
iptables -A Filtr -d img.cn99.com -j ACCEPT
iptables -A Filter -j DROP

Niektóre porty IP są otwarte, inne zamknięte
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -j DROP

Wiele portów
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j ODRZUĆ

Port ciągły
iptables -A Filtr -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j ODRZUĆ iptables -A Filtr -p tcp --source-port 2:80 -s 192.168.20.3 -j ODRZUĆ

Określ godzinę przeglądania internetu
iptables -A Filtr -s 10.10.10.253 -m czas --początek 6:00 --zatrzymanie czasu 11:00 --dni poniedziałek, wtorek, środa, czwartek, piątek, sobota, niedziela -j DROP
iptables -A Filtr -m czas --czas startu 12:00 --zatrzymanie czasu 13:00 --dni poniedziałek, wtorek, środa, czwartek, piątek, sobota, niedziela -j ZAAKCEPTUJ
iptables -A Filtr -m czas --czas startowy 17:30 --zatrzymanie czasu 8:30 --dni poniedziałek, wtorek, środa, czwartek, piątek, sobota, niedziela -j AKCEPTUJ
Usługi wieloportowe są zabronione
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT

NAT-uj port WAN na PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

Porty NAT 8000 do 192. 168。 100。 200 portów po 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80

Port, który serwer MAIL chce przekierować
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25

Dozwolony jest tylko PING 202. 96。 134。 133. Inne usługi są zabronione
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -j DROP
Wyłącz konfigurację BT
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Wyłącz konfigurację zapory QQ
iptables -A Filtr -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Na podstawie MAC może wysyłać i odbierać tylko e-maile, a wszystkie inne odrzucać
iptables -i Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -i Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Wyłącz konfigurację MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Dozwolony jest tylko PING 202. 96。 134。 133 PING nie jest dozwolony na innych publicznych adresach IP sieci
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
Zakaz dostępu do Internetu przez adres MAC:
iptables -i Filtr -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping do adresu IP:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Zakaz udostępniania adresu IP:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Dozwolone są tylko niektóre usługi, inne są odrzucane (2 zasady)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filter -j DROP
Usługa portowania adresu IP jest zabroniona
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Zakaz portowania dla adresu MAC
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Zakaz dostępu do Internetu przez adres MAC:
iptables -i Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping do adresu IP:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP

Mały śmiecie · Opublikowano 17.12.2015 22:16:55

iptables -I INPUT -p tcp --dport 3306 -j DROP
save service iptables
Restart obsługi IPTable

[linux] zapora iptables pozwala tylko wybranym adresom IP na dostęp do wybranych portów i konkretnych stron internetowych

Powiązane wpisy

Oglądane sekcje