Нови статии
bash scripts
CPU-frequency scalin...
Oбновявания на ОС W...
install zoneminder 1...
Installing mysql Mar...
Теми във форума
Нови теми
Малък лек и удобен д...
Клавишни комбинации ...
Инсталация на Arch L...
Защитна стена за мик...
Linux
Най-активни теми
Color console linux [4]
Клавишни комбинац... [1]
Защитна стена за ... [1]
Linux [1]
Малък лек и удобе... [0]
Приятели
Сега
Времето
Йерархия на статиите
Статии » Линукс и UNIX » Linux: Iptables примери за начинаещи сисадмини – част 2
Linux: Iptables примери за начинаещи сисадмини – част 2
Блокиране на целия трафик
За блокиране на целия трафик изпълнете:

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n

Блокиране само на входящия трафик

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n

Блокиране на адресите от частни мрежи
Пакетите от нерутиращи се източници могат да бъдат блокирани по следния начин:

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

IPv4 адресни пространства за частни мрежи (задължително трябва да бъдат блокирани при публичния интерфейс)

10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)

Блокиране на конкретни IP адреси (BLOCK IP)
За блокиране на адрес 1.2.3.4 въведете

# iptables -A INPUT -s 1.2.3.4 -j DROP

Блокиране на конкретни портове (BLOCK PORT)
За блокиране на всички услуги, работещи на port 80, въведете

# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

За блокиране на порт 80 само за избрано IP 1.2.3.4

# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

Блокирне на изходящи IP адреси
За блокиране на целия трафик към определен хост или домейн, като cyberciti.biz, изпълнете последователността от команди:

# host -t a cyberciti.biz
Примерен изход
cyberciti.biz has address 75.126.153.206

Вземете така-получения адрес и блокирайте целия изходящ трафик към него:

# iptables -A OUTPUT -d 75.126.153.206 -j DROP

За цяла подмрежа синтаксисът е подобен

# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP

Блокиране на Facebook.com
За намиране на всички адреси на facebook.com въведете:

# host -t a www.facebook.com

Примерен изход
www.facebook.com has address 69.63.189.70

CIDR за 69.63.189.70

# whois 69.63.189.70 | grep CIDR

Примерен изход
CIDR: 69.63.176.0/20

Блокиране по адрeс

# iptables -A OUTPUT -p tcp -d 69.63.176.0/20 -j DROP

Или по хост

# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP



Публикувана от admin на April 07 2012
Коментари
Няма написани коментари
Напишете коментар
Трябва да сте регистриран за да напишете коментар
Оценки
Оценяването е достъпно единствено за потребителите.

Влезте в акаунта си или се регистрирайте за да можете да давате оценки.

Няма оценки
Вход
Потребител

Парола



Не сте потребител?
Натиснете тук за да се регистрирате.

Забравихте паролата си?
Поискате си нова тук.
Downloads

New Downloads

NAVIGON-Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
NAVIGON Europe ...
µTorrent 3.4.1 ...
BitTorrent 7.9....
ProgDVB 7.04.2 ...
ProgDVB 7.04.2 ...
Wine 1.7.17
sakis3g
Wise Disk Clean...
DAEMON Tools Li...
opam
TurboFTP 6.30 B...
Skype 6.3.73.10...
FileZilla 3.7.0...
ChrisTV 5.75
BSPlayer Pro 2....
Rotativki
SquirrelMail + ...

Top 10 Downloads

n-Track Studio ... [7426]
Super MP3 Downl... [7281]
Registry Mechan... [7251]
Microsoft Secur... [7212]
Hiren`s v10.0.9 [6881]
K-Lite Mega Cod... [6416]
BitComet 1.21 F... [6323]
Rotativki [6315]
Slax + Hiren's ... [4408]
WinSetup From USB [4052]
Ново от Калдата