Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Druge tehnologije Windows/Linux požarni zid iptables dovoljuje dostop do določenega porta in dostop do določene spletne strani le določenemu IP-ju ...
Pogled: 14541|Odgovoriti: 1

[linux] iptables požarni zid omogoča dostop do določenih vrat in določenih spletnih strani le določenim IP-jem

[Kopiraj povezavo]
Objavljeno na 17. 12. 2015 22:02:49 | | |
1. Najprej varnostno kopiraj iptables

# cp /etc/sysconfig/iptables /var/tmp
Odpreti morate port 80 in določiti IP ter LAN naslov
Pomen naslednjih treh vrstic:
Najprej zapri vse priključke 80
Odpri 80 vrat na IP segmentu 192.168.1.0/24
Odpri 80 vrat IP segmenta IP segmenta 211.123.16.123/24
# iptables -I INPUT -p tcp --dport 80 -j DROP
# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT -s 211.123.16.123/24 -p tcp --dport 80 -j ACCEPT
Zgornje je začasno okolje.
2. Nato shrani iptables
# Service IPTABLES shrani
3. Ponovno zaženi požarni zid
#service iptables se ponovno zažene
===============Naslednje je ponatis ================================================
Spodaj so porti, vsi so blokirani, preden se odprejo nekateri IP-ji
iptables -I INPUT -p tcp --dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 9889 -j ACCEPT
Če se uporablja NAT posredovanje, ne pozabite sodelovati z naslednjimi, da začne veljati
iptables -I FORWARD -p tcp --dport 80 -j DROP
iptables -I NAPREJ -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT


Pogosto uporabljena pravila IPTABLES so naslednja:
Lahko samo pošiljate in prejemate e-pošto, vse ostalo je zaprto
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -j DROP
iptables -i Filter -m mac --mac-source 00:0F:EA:25:51:37 -p udp --dport 53 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0F:EA:25:51:37 -p tcp --dport 110 -j ACCEPT

IPSEC politika NAT
iptables -I PFWanPriv -d 192.168.100.2 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:80
iptables -t nat -A PREROUTING -p tcp --dport 1723 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 1723 -d $INTERNET_ADDR -j DNAT -to-destination 192.168.100.2:1723
iptables -t nat -A PREROUTING -p udp --dport 500 -d $INTERNET_ADDR -j DNAT -to-destination 192.168.100.2:500
iptables -t nat -A PREROUTING -p udp --dport 4500 -d $INTERNET_ADDR -j DNAT -to-destination 192.168.100.2:4500

NAT za FTP strežnik
iptables -I PFWanPriv -p tcp --dport 21 -d 192.168.100.200 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:21

Dovoljen je le določeni URL
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -d www.3322.org -j ACCEPT
iptables -A Filter -d img.cn99.com -j ACCEPT
iptables -A filter -j DROP

Nekatera vrata IP-ja so odprta, druga zaprta
iptables -A Filter -p tcp --dport 80 -s 192.168.100.200 -d www.pconline.com.cn -j ACCEPT
iptables -A Filter -p tcp --dport 25 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 109 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 110 -s 192.168.100.200 -j ACCEPT
iptables -A Filter -p tcp --dport 53 -j ACCEPT
iptables -A Filter -p udp --dport 53 -j ACCEPT
iptables -A filter -j DROP

Več vrat
iptables -A Filter -p tcp -m multiport --destination-port 22,53,80,110 -s 192.168.20.3 -j ZAVRNI

Neprekinjeni priključek
iptables -A Filter -p tcp -m multiport --source-port 22,53,80,110 -s 192.168.20.3 -j ZAVRNI iptables -A Filter -p tcp --source-port 2:80 -s 192.168.20.3 -j ZAVRNI

Določite čas za brskanje po internetu
iptables -A Filter -s 10.10.10.253 -m čas --čas začetek 6:00 --ustavitev časa 11:00 --dnevi pon, torek, sreda, četrtek, petek, nedelja -j DROP
iptables -A Filter -m čas --časzačetek 12:00 --timestop 13:00 --dnevi pon, tor, sreda, četrtek, petek, sobota, nedelja -j SPREJMI
iptables -A Filter -m čas --časzačetek 17:30 --timestop 8:30 --dnevi pon, tor, sreda, četrtek, petek, sobota, nedelja -j SPREJMI
Večpristaniške storitve so prepovedane
iptables -A Filter -m multiport -p tcp --dport 21,23,80 -j ACCEPT

NAT WAN priključek na PC
iptables -t nat -A PREROUTING -i $INTERNET_IF -d $INTERNET_ADDR -j DNAT --to-destination 192.168.0.1

NAT port 8000 do 192. 168。 100。 200 prenosov po 80
iptables -t nat -A PREROUTING -p tcp --dport 8000 -d $INTERNET_ADDR -j DNAT -to-destination 192.168.100.200:80

Port, ki ga želi MAIL strežnik posredovati
iptables -t nat -A PREROUTING -p tcp --dport 110 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:110
iptables -t nat -A PREROUTING -p tcp --dport 25 -d $INTERNET_ADDR -j DNAT --to-destination 192.168.100.200:25

Dovoljen je samo PING 202. 96。 134。 133. Druge storitve so prepovedane
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A filter -j DROP
Onemogoči BT konfiguracijo
iptables –A Filter –p tcp –dport 6000:20000 –j DROP
Onemogoči konfiguracijo QQ požarnega zidu
iptables -A Filter -p udp --dport ! 53 -j DROP
iptables -A Filter -d 218.17.209.0/24 -j DROP
iptables -A Filter -d 218.18.95.0/24 -j DROP
iptables -A Filter -d 219.133.40.177 -j DROP
Na podlagi MAC lahko pošilja in prejema le e-pošto, vsa ostala pa zavrača
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -j DROP
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 25 -j ACCEPT
iptables -I Filter -m mac --mac-source 00:0A:EB:97:79:A1 -p tcp --dport 110 -j ACCEPT
Onemogoči konfiguracijo MSN
iptables -A Filter -p udp --dport 9 -j DROP
iptables -A Filter -p tcp --dport 1863 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.68.178.238 -j DROP
iptables -A Filter -p tcp --dport 80 -d 207.46.110.0/24 -j DROP
Dovoljen je samo PING 202. 96。 134。 133 PING ni dovoljen na drugih javnih omrežnih IP-jih
iptables -A Filter -p icmp -s 192.168.100.200 -d 202.96.134.133 -j ACCEPT
iptables -A Filter -p icmp -j DROP
Prepovedati dostop do interneta z MAC naslovom:
iptables -I Filter -m mac --mac-source 00:20:18:8F:72:F8 -j DROP
Ping na IP naslov:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP
Prepoved strežbe IP naslova:
iptables –A Filter -p tcp -s 192.168.0.1 --dport 80 -j DROP
iptables –A Filter -p udp -s 192.168.0.1 --dport 53 -j DROP
Dovoljene so le določene storitve, druge so zavrnjene (2 pravila)
iptables -A Filter -p tcp -s 192.168.0.1 --dport 1000 -j ACCEPT
iptables -A filter -j DROP
Prenos za IP naslov je prepovedan
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j ACCEPT
iptables -A Filter -p tcp -s 10.10.10.253 --dport 80 -j DROP
Prepoved prenosne storitve za MAC naslov
iptables -I Filter -p tcp -m mac --mac-source 00:20:18:8F:72:F8 --dport 80 -j DROP
Prepovedati dostop do interneta z MAC naslovom:
iptables -I Filter -m mac --mac-source 00:11:22:33:44:55 -j DROP
Ping na IP naslov:
iptables –A Filter –p icmp –s 192.168.0.1 –j DROP




Prejšnji:Ali je bolje namestiti WordPress pod Linuxom z Apache ali nginx?
Naslednji:Razlika med bajtom in besedo

Sorodne objave
 Najemodajalec| Objavljeno na 17. 12. 2015 22:16:55 |
iptables -I INPUT -p tcp --dport 3306 -j DROP
Service IPTABLES shranjevanje
Ponovni zagon storitve iptables
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com