also erstmal musst du vorher erstellte regeln löschen und default regeln erstellen.
Code:# Tabelle flushen sudo iptables -F sudo iptables -t nat -F sudo iptables -t mangle -F sudo iptables -X sudo iptables -t nat -X sudo iptables -t mangle -X # Default-Policies setzen sudo iptables -P INPUT DROP sudo iptables -P OUTPUT DROP sudo iptables -P FORWARD DROP sudo iptables -t nat -P PREROUTING ACCEPT sudo iptables -t nat -P POSTROUTING ACCEPT sudo iptables -t nat -P OUTPUT ACCEPT sudo iptables -t mangle -P PREROUTING ACCEPT sudo iptables -t mangle -P OUTPUT ACCEPT sudo iptables -t mangle -P FORWARD ACCEPT sudo iptables -t mangle -P INPUT ACCEPT sudo iptables -t mangle -P POSTROUTING ACCEPT
dann musst du alles erlaube was von deinem rechner an deinen rechner gerichtet ist.
für eingehende verbindungen. also wenn du nen webserver hast benutz das hier:Code:# Loopback-Netzwerk-Kommunikation und LAN zulassen sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT
Code:sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
bei ausgehenden verbindungen. also wenn du selbst den browser benutzen willst und surfen willst.. den hier:
Code:sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
hier dann wie man ips sperrt(ausgehend und eingehend)
Code:sudo iptables -A INPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m sudo iptables -A INPUT -d $badip -s $badip -j DROP sudo iptables -A OUTPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m sudo iptables -A OUTPUT -d $badip -s $badip -j DROP
wenn du ssh wirklich schützen willst. benutz knockd. du sperrst erstmal komplett den ssh port bzw gibts den oben erst garnicht frei.
bei knockd gibtste ne port reihenfolge an. knockd filtert raus ob diese ports in der richtigen reihenfolge angewählt wurden. wenn ja. kann ein code ausgeführt werden. der dann z.b deine ip erlaubt.
Ergebnis 1 bis 2 von 2
Thema: 2 Fragen zu iptables
Baum-Darstellung
-
08.08.2008, 16:22 #2Stanley Jobson
- Registriert seit
- 09.12.2006
- Beiträge
- 671
Zitieren
