1. Mai întâi să faci backup-uri pe iptables
# cp /etc/sysconfig/iptables /var/tmp
Trebuie să deschizi portul 80 și să specifici adresa IP și LAN
Semnificația următoarelor trei versuri:
Închide toate porturile 80 mai întâi
Deschide 80 de porturi pe segmentul IP 192.168.1.0/24
Deschide 80 de porturi ale segmentului IP al segmentului IP 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Cele de mai sus reprezintă un cadru temporar.
2. Apoi salvează iptables
# servește iptables salvează
3. Repornește firewall-ul
#service restart iptables
===============Următoarea este o reeditare ================================================
Următoarele sunt porturile, toate sunt blocate înainte ca unele IP-uri să fie deschise
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Dacă se folosește redirecționarea NAT, amintește-ți să cooperezi cu următoarele pentru a intra în vigoare
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
Regulile IPTABLES utilizate frecvent sunt următoarele:
Poți trimite și primi doar emailuri, restul este închis
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT
Politica NAT IPSEC
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500
NAT pentru server FTP
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21
Este permisă doar URL-ul specificat
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filtru -p tcp --dport 53 -j ACCEPT
iptables -A Filtru -d www.3322.org -j ACCEPT
iptables -A Filtru -d img.cn99.com -j ACCEPT
iptables -A Filtru -j DROP
Unele porturi ale unui IP sunt deschise, iar altele sunt închise
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filtru -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filtru -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filtru -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filtru -j DROP
Portări multiple
iptables -A Filtru -p tcp -m multiport --port-destinație 22,53,80,110 -s 192.168.20.3 -j RESPINGE
Port continuu
iptables -A Filtru -p tcp -m multiport --sursă-port-22,53,80,110 -s 192.168.20.3 -j REJECT iptables -A Filtru -p tcp --source-port 2:80 -s 192.168.20.3 -j RESPINGERE
Specifică ora la care poți naviga pe Internet
iptables -A Filtru -s 10.10.10.253 -m oră --orar 6:00 --oprire 11:00 --zile luni, marți, miercuri, joi, vineri, sâmbătă, duminică -j DROP
iptables -A Filtru -m timp --orar start 12:00 --timestop 13:00 --zile luni, marți, miercuri, joi, vineri, sâmbătă, duminică -j ACCEPTĂ
iptables -A Filtru -m timp --orar start 17:30 --timestop 8:30 --zile luni, marți, miercuri, joi, vineri, sâmbătă, duminică -j ACCEPT
Serviciile cu mai multe porturi sunt interzise
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT
NAT portul WAN pe PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1
Portul NAT 8000 către 192. 168。 100。 200 de portări din 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80
Portul pe care serverul MAIL dorește să-l redirecționeze
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25
Este permis doar PING 202. 96。 134。 133. Alte servicii sunt interzise
iptables -A Filtru -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filtru -j DROP
Dezactivează configurația BT
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Dezactivează configurația firewall-ului QQ
iptables -A Filtru -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Pe baza MAC, poate trimite și primi doar emailuri, respingând toate celelalte
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Dezactivează configurația MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filtru -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Este permis doar PING 202. 96。 134。 133 PING nu este permis pe alte IP-uri de rețea publică
iptables -A Filtru -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filtru -p icmp -j DROP
Interzicerea accesării unei adrese MAC la Internet:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping către o adresă IP:
iptables –A Filtru –p icmp –s 192.168.0.1 –j DROP
Interzicerea ca o adresă IP să servească:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filtru -p udp -s 192.168.0.1 --dport 53 -j DROP
Doar anumite servicii sunt permise, altele sunt respinse (2 reguli)
iptables -A Filtru -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A Filtru -j DROP
Un serviciu de port pentru o adresă IP este interzis
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filtru -p tcp -s 10.10.10.253 --dport 80 -j DROP
Interzicerea unui serviciu de port pentru o adresă MAC
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Interzicerea accesării unei adrese MAC la Internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping către o adresă IP:
iptables –A Filtru –p icmp –s 192.168.0.1 –j DROP
|
Postat pe 17.12.2015 22:02:49
|
|
|
Proprietarul|
Postat pe 17.12.2015 22:16:55
|
