Exemplos de iptables

Atualizado no domingo, 19 de junho de 2016

iptables é um sistema de firewall vinculado ao kernel Linux. Ao contrário do que parecem que parecem que parecem iptables não são como um servidor que iniciamos ou paramos, houve alguma vulnerabilidade de que um DDoS permitiu, mas sempre será mais eficaz do que os aplicativos que ouvem em uma determinada porta TCP. Itable é integrado ao kernel, faz parte do sistema operacional. Podemos criar, modificar, excluir todos os tipos de regras, aqui vamos propor alguns exemplos.

Redefinir IPTables Firewall Regras

Visualizar o status de suas regras de firewall e listas
digite o seguinte comando como root:

iptables -L -n -viptables -n -L -v --line-numbers iptables -L INPUT -n -viptables -L OUTPUT -n -v --line-numbers

Excluir regras de firewall

iptables -L INPUT -n --line-numbersiptables -L OUTPUT -n --line-numbersiptables -L OUTPUT -n --line-numbers | lessiptables -L OUTPUT -n --line-numbers | grep 202.54.1.1

pode ser excluído pelo número da regra

iptables -D INPUT 4

ou especificar uma regra que corresponda

iptables -D INPUT -s 202.54.1.1 -j DROP

Defina as políticas padrão de firewall para Eliminar todo o tráfego:

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROPiptables -L -v -n

Basta bloquear o tráfego de entrada

excluir todos os pacotes recebidos / enviados, mas permitir o tráfego de saída, digite :

iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPTiptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPTiptables -L -v -n

Exclua endereços de rede privada na interface pública (assumindo eth1 como um público Interface)

block IP:

Salvar regras:

iptables-save > /root/iptables.fw

no CENTOS / RHEL / FEDORA Linux ,:

service iptables save

Restaurar regras :

iptables-restore < /root/iptables.fw

restauração no CENTOS / RHEL / FEDORA Linux:

service iptables restart

você pode Recarregue as regras automaticamente ao reiniciar o servidor:

vi /etc/rc.local
# Reload IPTABLES Rules automatically on restart/sbin/iptables-restore < /root/iptables.fw

em centás Você pode salvar as regras para recarregá-las automaticamente:

/etc/sysconfig/iptables

Permitir todo o tráfego de loopback e remova todo o tráfego para 127/8 que não usa lo0

iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

Exclua qualquer pacote TCP que não tenha sido iniciado com o sinalizador Syn Active

iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Aceite todas as conexões de entrada estabelecidas

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Remova qualquer pacote inválido que não possa ser

iptables -A INPUT -m state --state INVALID -j DROPDrop all inbound telnet trafficiptables -I INPUT -p tcp --dport 23 -j DROPDrop all outbound web trafficiptables -I OUTPUT -p tcp --dport 80 -j DROPDrop all outbound traffic to 192.168.0.1iptables -I OUTPUT -p tcp --dest 192.168.0.1 -j DROPAllow all inbound web trafficiptables -I INPUT -p tcp --dport 80 -j ACCEPTAllow inbound port traffic for localhostiptables -I INPUT -s 12.0.0.1 -p tcp --dport 2003 -j ACCEPTAllow inbound HTTPS traffic from 10.2.2.4iptables -I INPUT -s 10.2.2.4 -p tcp -m tcp --dport 443 -j DROPDeny outbound traffic to 192.2.4.0-192.2.4.255iptables -I OUTPUT -d 192.2.4.6.0/24 -j DROP

bloqueia tráfego para o domínio do Facebook.com, nós olhamos para o IP do Facebook.com e, em seguida, seu intervalo IPS

host -t a www.facebook.comwhois 69.171.228.40 | grep CIDR

Criamos a regra para não permitir acesso

iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

também por nome de domínio, mas não é 100% eficaz.

iptables -A OUTPUT -p tcp -d www.facebook.com -j DROPiptables -A OUTPUT -p tcp -d facebook.com -j DROP

Permitir conexões de entrada à porta 21 de um IP 11.22.33.44

iptables -A INPUT -p tcp -m state --state NEW --dport 21 --source 11.22.33.44

Permitir todo o tráfego de entrada ssh

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Permitir o ssh de saída

Permitir tráfego HTTP

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

Permitir https de saída.

iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Combine regras com multiplicar

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

negar Todas as conexões recebidas para a porta 21.

iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j DROP

Exclua a primeira regra de entrada

florescer Quear ou permitir solicitação ICMP ping

iptables -A INPUT -p icmp --icmp-type echo-request -j DROPiptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT/// A continuación sólo acepta tipo limitado de peticiones ICMP:

### ** Assumiu que a política de entrada padrão definiu para queda ** ######## ######## ## ## iptables -a entrada -p icmp -icmp-type echo-responder -J aceite iptables -a entrada -p icmp-destation-tipo -icmp – inaceitável -J aceitar iptables -a inserção -pi-type time -exesced -J aceitar
## ** todo o nosso servidor para responder aos pings ** ## iptables -a entrada -p icmp -icmp-type echo-solicitam -j aceitar

iptables -a entrada -P ICMP -CMP-tipo echo-requily -j aceitar iptables -a saída -P ICMP – ICMP- Tipo Echo-Responder -J Aceitar

Permitir PING de dentro a fuera.

iptables -a saída -P ICMP -CMP-TIPO ECHO-PEDIDO -J aceitar iptables -a entrada – p icmp -CMP-Type Echo-Responder -J aceitar

Permitir tráfico DNS saliente.

iptables -a saída -p udp -o eth0 -dport 53 -J aceitar iptables -a entrada – P udp -i eth0 -sport 53 -j aceitar

Abrir un rango de puertos de entrada

iptables -a estado de entrada -m estado de estado ne W -m tcp -p tcp dpt 7000: 7010 -J aceitar

Abrir un rango de IPs

## só aceita conexão com a porta TCP 80 (Apache) IP IP está entre 192.168 .1.100 e 192.168.1.168.200 ## iptofables -a entrada-PP TCP Destino-Porta 80-M de IPRENDE SRC-faixa de 192.168.1.100-192.168.1.200 -J Aceitar

## NAT exemplo ## iptables – T Nat-Tástruto -J snat-a-fonte 192.168.1.20-192.168.1.25

%%%Restringir el número de conexiones concurrentes a un servidor por IP%%%Puedes utilizar el módulo connlimit para crear estas restricciones. Permitir 3 conexiones SSH por cliente:

iptables -a entrada -p tcp syn dport 22 -m connlimit -connlimit – acima de 3 -J Rejeitar

Limitar el número de conexiones HTTP a 20:

iptables -p tcp syn dport 80 – m connlimit connlimit-acima de 20 connlimit-máscara 24 -J Drop

Donde:* --connlimit-above 3 : Match if the number of existing connections is above 3.* --connlimit-mask 24 : Group hosts using the prefix length. For IPv4, this must be a number between (including) 0 and 32.%%%Eliminar o aceptar paquetes desde una MAC Address

iptables -a entrada -m Mac -mac-fonte 00: 0F: EA: 91 : 04: 08 -Ja drop
## * Apenas aceite tráfego para a porta TCP # 22 da Mac 00: 0F: EA: 91: 04: 07 * ## iptables -a entrada -p TCPDestination-Port 22 -m Mac MAC-FONTE 00: 0F: EA: 91: 04: 07 -J Aceitar

%%%Prevenir ataques DoS* -Limit 25/minute : Limita a sólo 25 conexiones por minuto.* -Limit-burst 100: Indica que el valor de limit/minute será forzado sólo después del número de conexiones en este nivel

iptables -a entrada -P DPORT 80-M Limite limite 25 / minuto -limit-estourando 100 -J aceitar

%%%Permitir redirección de puertos.* Ejemplo puerto 422 redirigimos al 22, con lo que podemos tener conexiones al puerto 22 y al puerto 422 por ssh.

iptables -t nat -a Prerouting -p TCP-PT 192.168.102.37 DPPT 422 -J DNAT para 192.168.102.37:22 iptables -a entrada -i etc0 -p tcp dport 422 -m estado estadual novo, estabelecido -J aceitar iptables -a saída -a saída -o eth0 -p tcpsport 422 -m estado estadual estabelecido

iptables -a entrada -i etc1 -s 10.0.0.0/8 -J Log -Log-prefix “ip_spoof a:” iptables -a entrada -i etc1 -s 10.0.0.0 / 8 -J Soltar

Logar y eliminar paquetes limitando el número de entradas repetidas en el LOG

iptables -a entrada -i etc1 -s 10.0.0.0/8 -m Limite de limite de limite 5 / estourando 7 – j log -log-prefix “ip_spoof a:” iptables -a entrada -i etc1 -s 10.0.0.0/8 -J Drop

Sacar en el log los paquetes caídos.* Primero creamos una cadena llamada LOGGING:

iptables -n Registro

Luego todas las conexiones entrantes vayan por la cadena LOGGING

iptables -a entrada -J log

iptables -a Log-Min Limit Limit 2 / min -J Log-prefix “iptables Packet caiu:” -Log-level 7

Y los bloqueamos:

iptables -a Logging -J Drop

%%%Listado de reglas ejemplo para puertos TCP/UDP comunes:* Replace ACCEPT with DROP to block port:

## Abrir a porta TCP da porta SSH 22 ## iptables – uma entrada – m estado estadual novo -m tcp -p tcp dport 22 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 22 -J aceitar

## copos abertos (Serviço de impressão) UDP / TCP Port 631 para usuários de LAN ## iptables -a entrada -s 192.168.1.0/24 -P UDP-MM UDP -DPort 631 -J aceitar iptables -a entrada -s 192.168.1.0/24 -p tcp -m tcp -dport 631 -J aceitar

## permite Sincronização de tempo via NTP para usuários da LAN (aberta porta UDP 123) ## iptables -a entrada -s 192.168.1.0/24 -m Statestate New -p UDP DPORT 123 -J aceitar

## Abrir porta TCP 25 (SMTP) para todos os iptables ## iptables – um estado de entrada de entrada -m New-P TCP DPPT 25 -J aceitar

  1. abrir portas de servidor DNS para todos ##

iptables -a estado de entrada -m estado de estado novo -p udp dport 53 -J aceitar iptables -a estado de entrada -m estado de estado novo -p tcpdport 53 -J aceitar

## aberto http / https (Apache) porta do servidor para todos ## iptables – um estado de entrada de entrada -m New-P TCP DPORT 80 -J aceitar iptables -a estado de entrada -m estado de estado novo -p tcp dport 443 -J aceitar

## Abrir a porta TCP 110 (POP3) para todos os iptables ## iptables -a estado de entrada -m estado novo -p tcp dport 110 -j aceitar

## abre a porta TCP 143 (IMAP) para todos ## iptables -a entrada -m estado estado novo -p tcp dport 143 -j aceitar

## acesso aberto ao samba f ILE servidor para usuários de lan apenas ## iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 137 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo TCP DPPT 138 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 139 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p dport 445 -J aceitar

## Abrir acesso ao servidor proxy para usuários de LAN apenas ## iptables -a entrada -s -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 3128 -J aceitar

## Abrir acesso ao servidor mysql para usuários de LAN apenas ## iptables -i entrada -p tcp -dport 3306 -J aceitar ///

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *