Tento článok je zrkadlovým článkom o strojovom preklade, kliknite sem pre prechod na pôvodný článok.

Architect_Programmer_Code Poľnohospodárska sieť»Architekt Ďalšie technológie Windows/Linux iptables firewall umožňuje len určitej IP adrese prístup k určitému portu a prístup ku konkrétnej webovej stránke ...
Pohľad: 14541|Odpoveď: 1

[linux] iptables firewall umožňuje prístup len k určitým IP adresám a konkrétnym webovým stránkam

[Kopírovať odkaz]
Zverejnené 17. 12. 2015 22:02:49 | | |
1. Najskôr zálohujte iptables

# cp /etc/sysconfig/iptables /var/tmp
Musíte otvoriť port 80 a zadať IP a LAN adresu
Význam nasledujúcich troch riadkov:
Najskôr zatvorte všetky porty o 80 stupňov
Otvorte 80 portov na IP segmente 192.168.1.0/24
Otvoriť 80 portov IP segmentu IP segmentu 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Vyššie uvedené je dočasné nastavenie.
2. Potom uložiť iptables
# Ukladanie iptables služieb
3. Reštartovať firewall
#service reštart iptables
===============Nasleduje reedícia ================================================
Nasledujú porty, všetky sú zablokované predtým, než sa niektoré IP adresy otvoria
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Ak sa použije NAT forwarding, nezabudnite spolupracovať s nasledujúcimi, aby nadobudli účinnosť
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT


Bežne používané pravidlá IPTABLES sú nasledovné:
Môžete len posielať a prijímať e-maily, všetko ostatné je zatvorené
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT

Politika IPSEC NAT
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:4500

NAT pre FTP server
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21

Povolená je iba špecifikovaná URL
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.3322.org -j ACCEPT
iptables -A Filter -d img.cn99.com -j ACCEPT
iptables -A filter -j DROP

Niektoré porty IP sú otvorené, iné zatvorené
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A filter -j DROP

Viacnásobné porty
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j ODMIETNUŤ

Kontinuálny port
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j ODMIETNUŤ iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j ODMIETNUŤ

Určte čas na surfovanie po internete
iptables -A Filter -s 10.10.10.253 -m čas --čas začiatok 6:00 --zastavenie času 11:00 --dni pondelok, utorok, streda, štvrtok, piatok, sobota, nedeľa -j DROP
iptables -A Filter -m čas --čas začiatok 12:00 --zastavenie času 13:00 --dni pondelok, utorok, streda, štvrtok, piatok, sobota, nedeľa -j PRIJAŤ
iptables -A Filter -m čas --čas začiatok 17:30 --zastavenie času 8:30 --dni pondelok, utorok, streda, štvrtok, piatok, sobota, nedeľa -j PRIJAŤ
Viacprístavné služby sú zakázané
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT

NAT WAN port na PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT -to-destination 192.168.0.1

NAT port 8000 až 192. 168。 100。 200 portov po 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:80

Port, ktorý chce MAIL server preposlať
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25

Povolený je len PING 202. 96。 134。 133. Iné služby sú zakázané
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A filter -j DROP
Vypnúť BT konfiguráciu
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Vypnite konfiguráciu QQ firewallu
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Na základe MAC adresy môže iba odosielať a prijímať e-maily a všetky ostatné odmietať
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Vypnúť konfiguráciu MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Povolený je len PING 202. 96。 134。 133 PING nie je povolený na iných verejných sieťových IP adresách
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
Zakázať MAC adrese prístup na internet:
iptables -i Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping na IP adresu:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Zakázať IP adresu na servis:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Povolené sú len určité služby, iné sú odmietnuté (2 pravidlá)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A filter -j DROP
Port služba pre IP adresu je zakázaná
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Zákaz portovacej služby pre MAC adresu
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Zakázať MAC adrese prístup na internet:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping na IP adresu:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP




Predchádzajúci:Je lepšie nainštalovať WordPress pod Linuxom s Apache alebo nginx?
Budúci:Rozdiel medzi bajtom a slovom

Súvisiace príspevky
 Prenajímateľ| Zverejnené 17. 12. 2015 22:16:55 |
iptables -I INPUT -p tcp --dport 3306 -j DROP
Service IPTABLES save
Reštart Service IPTABLES
Vyhlásenie:
Všetok softvér, programovacie materiály alebo články publikované spoločnosťou Code Farmer Network slúžia len na vzdelávacie a výskumné účely; Vyššie uvedený obsah nesmie byť použitý na komerčné alebo nezákonné účely, inak nesú všetky následky používateľmi. Informácie na tejto stránke pochádzajú z internetu a spory o autorské práva s touto stránkou nesúvisia. Musíte úplne vymazať vyššie uvedený obsah zo svojho počítača do 24 hodín od stiahnutia. Ak sa vám program páči, podporte originálny softvér, zakúpte si registráciu a získajte lepšie originálne služby. Ak dôjde k akémukoľvek porušeniu, kontaktujte nás prosím e-mailom.
Mail To:help@itsvse.com