also erstmal musst du vorher erstellte regeln löschen und default regeln erstellen.
Code:
# Tabelle flushen
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t mangle -X
# Default-Policies setzen
sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
sudo iptables -t mangle -P FORWARD ACCEPT
sudo iptables -t mangle -P INPUT ACCEPT
sudo iptables -t mangle -P POSTROUTING ACCEPT
dann musst du alles erlaube was von deinem rechner an deinen rechner gerichtet ist.
Code:
# Loopback-Netzwerk-Kommunikation und LAN zulassen
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
für eingehende verbindungen. also wenn du nen webserver hast benutz das hier:
Code:
sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
bei ausgehenden verbindungen. also wenn du selbst den browser benutzen willst und surfen willst.. den hier:
Code:
sudo iptables -A OUTPUT -p tcp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --sport 1024:65535 --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --dport 1024:65535 --sport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p udp --sport 1024:65535 --dport $port -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 1024:65535 --sport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
hier dann wie man ips sperrt(ausgehend und eingehend)
Code:
sudo iptables -A INPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m
sudo iptables -A INPUT -d $badip -s $badip -j DROP
sudo iptables -A OUTPUT -d $badip -s $badip -j LOG --log-prefix "DROP IP: " --log-level 6 -m limit --limit 4/m
sudo iptables -A OUTPUT -d $badip -s $badip -j DROP
wenn du ssh wirklich schützen willst. benutz knockd. du sperrst erstmal komplett den ssh port bzw gibts den oben erst garnicht frei.
bei knockd gibtste ne port reihenfolge an. knockd filtert raus ob diese ports in der richtigen reihenfolge angewählt wurden. wenn ja. kann ein code ausgeführt werden. der dann z.b deine ip erlaubt.