Как удалить правило в iptables

admin

Оглавление:

Настройка фаервола с помощью iptables за пять минут

Я несколько раз сталкивался с тем, что даже неглупые в общем-то люди делают совершенно непростительные ошибки. Например, открывают всему интернету порт, на котором крутится база данных. Часто так бывает у начинающих DevOps, которые всю жизнь писали код, а теперь в их обязанности входит еще и настройка серверов. В сети есть хорошие туториалы по базовой настройке фаервола в Linux и других *nix, но часто это простыни на множество экранов. Так что, надеюсь, этот более лаконичный туториал кому-нибудь пригодится.

Важно! Очень легко по ошибке так зафаерволить машину, что вы на нее больше не зайдете. Особенно это касается облачных хостингов. Например, если в AWS вы закроете все порты с 1024 по 65536, у машины после ребута почему-то оказываются закрыты вообще все порты. Если вы хоститесь в облаках, настраивайте лучше фаервол через предоставляемый хостингом веб-интерфейс.

Небольшое замечание по терминологии. Фаервол, встроенный в ядро Linux, называется Netfilter, а iptables — утилита для управления этим фаерволом. Многие ошибочно полагают, что фаервол называется iptables. Это не так. Говоря что-нибудь наподобие «я фильтрую пакеты с помощью iptables», вы показываете окружающим свою безграмотность.

  • Разрешать/запрещать входящий трафик на определенные порты по определенным протоколам (IPv4/IPv6, TCP/UDP) с указанных адресов (IP, MAC) или подсетей;
  • Все то же самое в отношении исходящего трафика;
  • Можно, например, полностью игнорировать все ICMP пакеты;
  • Слышал, что настоящие гуру умеют настраивать защиту от DDoS и брутфорса, ограничивать доступ в сеть конкретным приложениям, пользователям или группам, и делать другие чумовые вещи;

Отмечу, что утилита iptables мне лично первое время казалась исключительно неудобной по сравнению с ipfw во FreeBSD. К счастью, поработав с ней какое-то время, все это множество флагов вроде -A, -D, -j и прочих становятся привычны, так что, наберитесь терпения. Рассмотрим основные команды.

Показать все правила:

Удалить все правила:

Изменить политику (поведение по умолчанию) цепочки:

Запретить доступ с хоста/подсети:

Также можно использовать доменные имена:

Запрет исходящих соединений:

В правилах можно использовать отрицания:

Удаление правила по его номеру в цепочке:

Удаление правила на основе того, что оно делает:

Опция -p указывает на протокол. Можно использовать all, icmp, tcp, udp или номер протокола из /etc/protocols. Флаг — -sport указывает порт, с которого был прислан пакет, а — -dport указывает порт назначения:

eax.me

21 пример использования iptables для администраторов.

Файрвол в системе linux контролируется программой iptables (для ipv4) и ip6tables (для ipv6). В данной шпаргалке рассмотрены самые распространённые способы использования iptables для тех, кто хочет защитить свою систему от взломщиков или просто разобраться в настройке.

Знак # означает, что команда выполняется от root. Откройте заранее консоль с рутовыми правами — sudo -i в Debian-based системах или su в остальных.

1. Показать статус.

Примерный вывод команды для неактивного файрвола:

Для активного файрвола:

Где:
-L : Показать список правил.
-v : Отображать дополнительную информацию. Эта опция показывает имя интерфейса, опции, TOS маски. Также отображает суффиксы ‘K’, ‘M’ or ‘G’.
-n : Отображать IP адрес и порт числами (не используя DNS сервера для определения имен. Это ускорит отображение).

2. Отобразить список правил с номерами строк.

# iptables -n -L -v —line-numbers

Вы можете использовать номера строк для того, чтобы добавлять новые правила.

3. Отобразить INPUT или OUTPUT цепочки правил.

# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v —line-numbers

4. Остановить, запустить, перезапустить файрвол.

Силами самой системы:
# service ufw stop
# service ufw start

Можно также использовать команды iptables для того, чтобы остановить файрвол и удалить все правила:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT

Где:
-F : Удалить (flush) все правила.
-X : Удалить цепочку.
-t table_name : Выбрать таблицу (nat или mangle) и удалить все правила.
-P : Выбрать действия по умолчанию (такие, как DROP, REJECT, или ACCEPT).

5. Удалить правила файрвола.

Чтобы отобразить номер строки с существующими правилами:
# iptables -L INPUT -n —line-numbers
# iptables -L OUTPUT -n —line-numbers
# iptables -L OUTPUT -n —line-numbers | less
# iptables -L OUTPUT -n —line-numbers | grep 202.54.1.1

Получим список IP адресов. Просто посмотрим на номер слева и удалим соответствующую строку. К примеру для номера 3:
# iptables -D INPUT 3

Или найдем IP адрес источника (202.54.1.1) и удалим из правила:
# iptables -D INPUT -s 202.54.1.1 -j DROP

Где:
-D : Удалить одно или несколько правил из цепочки.

6. Добавить правило в файрвол.

Чтобы добавить одно или несколько правил в цепочку, для начала отобразим список с использованием номеров строк:
# iptables -L INPUT -n —line-numbers

Чтобы вставить правило между 1 и 2 строкой:
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP

Проверим, обновилось ли правило:
# iptables -L INPUT -n —line-numbers

Вывод станет таким:

7. Сохраняем правила файрвола.

Через iptables-save:
# iptables-save > /etc/iptables.rules

8. Восстанавливаем правила.

Через iptables-restore
# iptables-restore

9. Устанавливаем политики по умолчанию.

Чтобы сбрасывать весь трафик:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n

После вышеперечисленных команд ни один пакет не покинет данный хост.
# ping google.com

10. Блокировать только входящие соединения.

Чтобы сбрасывать все не инициированные вами входящие пакеты, но разрешить исходящий трафик:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state —state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n

Пакеты исходящие и те, которые были запомнены в рамках установленных сессий — разрешены.
# ping google.com

11. Сбрасывать адреса изолированных сетей в публичной сети.

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Список IP адресов для изолированных сетей:
10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)

12. Блокировка определенного IP адреса.

Чтобы заблокировать адрес взломщика 1.2.3.4:
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP

13. Заблокировать входящие запросы порта.

Чтобы заблокировать все входящие запросы порта 80:
# iptables -A INPUT -p tcp —dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp —dport 80 -j DROP

Чтобы заблокировать запрос порта 80 с адреса 1.2.3.4:
# iptables -A INPUT -p tcp -s 1.2.3.4 —dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 —dport 80 -j DROP

14. Заблокировать запросы на исходящий IP адрес.

Чтобы заблокировать определенный домен, узнаем его адрес:
# host -t a facebook.com

Вывод: facebook.com has address 69.171.228.40

Найдем CIDR для 69.171.228.40:
# whois 69.171.228.40 | grep CIDR

Вывод:
CIDR: 69.171.224.0/19

Заблокируем доступ на 69.171.224.0/19:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

Также можно использовать домен для блокировки:
# iptables -A OUTPUT -p tcp -d www.fаcebook.com -j DROP
# iptables -A OUTPUT -p tcp -d fаcebook.com -j DROP

15. Записать событие и сбросить.

Чтобы записать в журнал движение пакетов перед сбросом, добавим правило:

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG —log-prefix «IP_SPOOF A: »
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Проверим журнал (по умолчанию /var/log/messages):
# tail -f /var/log/messages
# grep -i —color ‘IP SPOOF’ /var/log/messages

16. Записать событие и сбросить (с ограничением на количество записей).

Чтобы не переполнить раздел раздутым журналом, ограничим количество записей с помощью -m. К примеру, чтобы записывать каждые 5 минут максимум 7 строк:
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit —limit 5/m —limit-burst 7 -j LOG —log-prefix «IP_SPOOF A: »
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

16. Сбрасывать или разрешить трафик с определенных MAC адресов.

# iptables -A INPUT -m mac —mac-source 00:0F:EA:91:04:08 -j DROP
## *разрешить только для TCP port # 8080 с mac адреса 00:0F:EA:91:04:07 * ##
# iptables -A INPUT -p tcp —destination-port 22 -m mac —mac-source 00:0F:EA:91:04:07 -j ACCEPT

17. Разрешить или запретить ICMP Ping запросы.

Чтобы запретить ping:
# iptables -A INPUT -p icmp —icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp —icmp-type echo-request -j DROP

Разрешить для определенных сетей / хостов:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp —icmp-type echo-request -j ACCEPT

Разрешить только часть ICMP запросов:
### ** предполагается, что политики по умолчанию для входящих установлены в DROP ** ###
# iptables -A INPUT -p icmp —icmp-type echo-reply -j ACCEPT
# iptables -A INPUT -p icmp —icmp-type destination-unreachable -j ACCEPT
# iptables -A INPUT -p icmp —icmp-type time-exceeded -j ACCEPT
## ** разрешим отвечать на запрос ** ##
# iptables -A INPUT -p icmp —icmp-type echo-request -j ACCEPT

18. Открыть диапазон портов.

# iptables -A INPUT -m state —state NEW -m tcp -p tcp —dport 7000:7010 -j ACCEPT

19. Открыть диапазон адресов.

## разрешить подключение к порту 80 (Apache) если адрес в диапазоне от 192.168.1.100 до 192.168.1.200 ##
# iptables -A INPUT -p tcp —destination-port 80 -m iprange —src-range 192.168.1.100-192.168.1.200 -j ACCEPT

## пример для nat ##
# iptables -t nat -A POSTROUTING -j SNAT —to-source 192.168.1.20-192.168.1.25

20. Закрыть или открыть стандартные порты.

Заменить ACCEPT на DROP, чтобы заблокировать порт.

## ssh tcp port 22 ##
iptables -A INPUT -m state —state NEW -m tcp -p tcp —dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 22 -j ACCEPT

## cups (printing service) udp/tcp port 631 для локальной сети ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp —dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp —dport 631 -j ACCEPT

## time sync via NTP для локальной сети (udp port 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p udp —dport 123 -j ACCEPT

## tcp port 25 (smtp) ##
iptables -A INPUT -m state —state NEW -p tcp —dport 25 -j ACCEPT

# dns server ports ##
iptables -A INPUT -m state —state NEW -p udp —dport 53 -j ACCEPT
iptables -A INPUT -m state —state NEW -p tcp —dport 53 -j ACCEPT

## http/https www server port ##
iptables -A INPUT -m state —state NEW -p tcp —dport 80 -j ACCEPT
iptables -A INPUT -m state —state NEW -p tcp —dport 443 -j ACCEPT

## tcp port 110 (pop3) ##
iptables -A INPUT -m state —state NEW -p tcp —dport 110 -j ACCEPT

## tcp port 143 (imap) ##
iptables -A INPUT -m state —state NEW -p tcp —dport 143 -j ACCEPT

## Samba file server для локальной сети ##
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 445 -j ACCEPT

## proxy server для локальной сети ##
iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 3128 -j ACCEPT

## mysql server для локальной сети ##
iptables -I INPUT -p tcp —dport 3306 -j ACCEPT

21. Ограничить количество параллельных соединений к серверу для одного адреса.

Для ограничений используется connlimit модуль. Чтобы разрешить только 3 ssh соединения на одного клиента:
# iptables -A INPUT -p tcp —syn —dport 22 -m connlimit —connlimit-above 3 -j REJECT

Установить количество запросов HTTP до 20:
# iptables -p tcp —syn —dport 80 -m connlimit —connlimit-above 20 —connlimit-mask 24 -j DROP

Где:
—connlimit-above 3 : Указывает, что правило действует только если количество соединений превышает 3.
—connlimit-mask 24 : Указывает маску сети.

Помощь по iptables.

Для поиска помощи по iptables, воспользуемся man:
$ man iptables

Чтобы посмотреть помощь по определенным командам и целям:
# iptables -j DROP -h

Проверка правила iptables.

Проверяем открытость / закрытость портов:
# netstat -tulpn

Проверяем открытость / закрытость определенного порта:
# netstat -tulpn | grep :80

Проверим, что iptables разрешает соединение с 80 портом:
# iptables -L INPUT -v -n | grep 80

В противном случае откроем его для всех:
# iptables -A INPUT -m state —state NEW -p tcp —dport 80 -j ACCEPT

Проверяем с помощью telnet
$ telnet ya.ru 80

Можно использовать nmap для проверки:
$ nmap -sS -p 80 ya.ru

Автор статьи Platon Puhlechev aka iFalkorr разрешает печатать данный текст.

Iptables отличный инструмент в руках администратора. Если нужно легко и просто защититься в десктопной Ubuntu, то стоит знать, что есть удобная консольная надстройка над iptables под названием UFW, а к ней есть графическая программа GUFW. Сделать свою Ubuntu ещё более защищённой поможет видеоматериал.

vasilisc.com

Iptables удалить все правила

-p tcp —dports 81 : 65535 ! -s 127.0.0.0 / 8 -j DROP

Другой пример. Требуется выяснить, какие порты прослушиваются на машине, и закрыть лишние. Заходим на машину и говорим:

Восстановление происходит точно так же, только флаг -A заменяется на флаг -D.

  • Настройка NAT, см пост про установку и настройку OpenVPN;
  • Слышал, что настоящие гуру умеют настраивать защиту от DDoS и брутфорса, ограничивать доступ в сеть конкретным приложениям, пользователям или группам, и делать другие чумовые вещи;

    Nginx и SSHd смотрят в интернет, это нормально. PostgreSQL слушает только локальный интерфейс, поэтому с ним тоже проблем нет. А вот epmd торчит наружу (можно проверить telnet’ом с другой машины), и это никуда не годится. Можно закрыть только порт 4369. Как это сделать, было показано выше. Или можно пойти еще дальше и запретить все соединения извне на порт 81 и старше:

    Вы можете заметить, что в Netfilter есть какие-то «цепочки» (chains) — как минимум INPUT, OUTPUT и FORWARD. У меня лично на машине есть еще и цепочка DOCKER. На первое время можно думать о первых двух, как обо всем входящем и исходящем трафике соответственно, а об остальных временно забыть. Велика вероятность, что они вообще никогда вам не понадобятся.

    Теперь рассмотрим несколько практических примеров. Так, например, выглядит эмуляция нетсплита в тесте, проверяющем поведение приложения, в котором используется Akka Cluster:

    Записки программиста

    Вообще, какие примерно задачи можно решать с помощью Netfilter:

    run ( node1, s «iptables -A INPUT -s $node3 -j DROP» )

    Каждый компьютер, подключенный к сети, находится в потенциальной опасности. В сети очень много угроз начиная от программ, которые будут пытаться любым способом проникнуть в систему и заканчивая хакерами, которые хотят получить доступ к нужному им компьютеру. А программное обеспечение, установленное на компьютере, может содержать еще не известные и неисправленные уязвимости, которые и могут стать дырой в безопасности.

    Но если вы думаете что можно просто полностью закрыть цепочку Input для увеличения безопасности, то вы очень сильно ошибаетесь. При работе сети используются обе цепочки input и output. Например, вы пытаетесь выполнить ping, данные отправляются через output, но ответ приходит через input. То же самое происходит при просмотре сайтов и других действиях. А вот цепочка forward может вообще не использоваться если ваш компьютер не является маршрутизатором. Так что настройка iptables должна выполняться очень аккуратно.

    А в дистрибутивах, основанных на Fedora, установка iptables выполняется немного по-другому:

    Настройка iptables для чайников

    Теперь давайте рассмотрим параметры iptables, таблица указывает таблицу, с которой нужно работать, этот параметр можно упустить, действие — нужное действие, например, создать или удалить правило, а дополнительные параметры описывают действие и правило, которое нужно выполнить.

    Осталось рассмотреть основные действия, которые позволяет выполнить iptables:

    Именно с помощью этой программы выполняется защита системы от внешних вторжений, перенаправление портов, а также еще очень много действий с трафиком. Но ее минус в том, что она немного сложна в настройке. В этой статье будет рассмотрена настройка iptables для чайников. Я надеюсь, что после нее вы сможете уверенно пользоваться базовыми возможностями iptables.

    С теорией почти все, теперь давайте рассмотрим утилиту командной строки iptables, с помощью которой и выполняется управление системой iptables.

    Если для домашних компьютеров это не очень актуально, так как они подключены к сети через роутеры и NAT, которые скрывают их от внешней сети, то для серверов это актуально как никогда. В операционной системе Linux в ядро встроен очень гибкий и надежный фаервол iptables.

    sudo iptables -A OUTPUT -s 10.10.10.10 -j DROP

    Все настройки iptables, которые вы указали с помощью этих команд сохранятся только до перезагрузки. После перезагрузки компьютера все изменения будут стерты. Поэтому чтобы сохранить правила iptables, нужно выполнить специальную команду. Только в разных дистрибутивах она отличается. В Ubuntu выполните:

    А теперь исходящие пакеты на этот же адрес:

    21 пример использования iptables для администраторов

    # iptables -A INPUT -m state —state NEW,ESTABLISHED -j ACCEPT

    # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

    Знак # означает, что команда выполняется от root. Откройте заранее консоль с рутовыми правами — sudo -i в Debian-based системах или su в остальных.

    Для поиска помощи по iptables, воспользуемся man:

    # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG —log-prefix «IP_SPOOF A: «

    # iptables -A INPUT -p icmp —icmp-type echo-request -j DROP

    —connlimit-mask 24 : Указывает маску сети.

    iptables -A INPUT -s 192.168.1.0/24 -m state —state NEW -p tcp —dport 3128 -j ACCEPT

    iptables -I INPUT -p tcp —dport 3306 -j ACCEPT

    Также можно использовать домен для блокировки:

    iptables -A INPUT -m state —state NEW -p tcp —dport 143 -j ACCEPT

    # iptables -p tcp —syn —dport 80 -m connlimit —connlimit-above 20 —connlimit-mask 24 -j DROP

    -n — Отображать IP адрес с портом в числах (не используя DNS сервера для определения имен. Ускоряет отображение).

    -v — Данная опция, выводит дополнительную информацию. Этот параметр показывает имя интерфейса, его опции, TOS маски, отображает суффиксы ‘K’, ‘M’ or ‘G’.

    В своей статье «Удалить iptables правило» я хочу рассказать как можно удалять правила с iptables. На наглядных примерах, я покажу как пользоваться iptables на вашем сервере.

    Например, нужно удалить порт с правил iptables, можно сделать это так:

    Можно удалить и по-другому, если знаете IP адрес источника:

    Можно удалить и по-другому, если знаете IP адрес:

    Так же можно вывести список правил с нумерацией строк:

    Выполняем поиск удобным для вас способом:

    Можно просмотреть правила для конкретной цепочки:

    Чтобы сбросить все цепочки правил – то есть, удалить все правила фаервола, — используйте опцию –F (или —flush) без дополнительных параметров.

    Итак, чтобы очистить счётчики для всех цепочек и правил, используйте опцию –Z без дополнительных параметров:

    REJECT tcp — anywhere anywhere reject-with tcp-reset

    1 ACCEPT all — anywhere anywhere ctstate RELATED,ESTABLISHED

    10 ACCEPT tcp — anywhere anywhere tcp dpt:ssh ctstate NEW,ESTABLISHED

    При просмотре правил iptables можно также запрашивать количество пакетов и байтов, которые совпали с каждым конкретным правилом. Для этого просто используйте опции -L и -v.

    Такой формат вывода правил iptables позволяет сравнивать разные правила.

    Чтобы сбросить определённую цепочку правил, используйте флаг –F (или его полную версию —flush), указав имя цепочки.

    7 REJECT udp — anywhere anywhere reject-with icmp-port-unreachable

    -A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,ACK SYN -m conntrack —ctstate NEW -j TCP

    REJECT udp — anywhere anywhere reject-with icmp-port-unreachable

    Брандмауэр Iptables предоставляет возможность удалить все правила цепочки – сбросить цепочку правил. Данный раздел рассматривает несколько способов сделать это.

    Iptables закрыть все из вне кроме openvpn

    #Добавим правило, для маскировки ip в цепочку POSTROUTING таблицы nat, #вместо eth0 необходимо писать Ваш интерфейс смотрящий в интернет

    с iptables знаком пока не очень,сейчас так:

    А удалённо разве не надо управлять? Openvpn по-дефолту UDP. Ну что за постановка задачи, это маршрутизатор? Сколько интерфейсов, вывод ip -4 a

    iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/25 -d 0/0 -p tcp -m multiport —dport 23,25,110,80,8080 -j DNAT —to 192.168.0.1:3128

    Я бы переделал бы все правила iptables по другому.. ну чтоб работало так как тебе хочится то достаточно после

    iptables -A INPUT -p udp -m state —state NEW —dport 1194 -j ACCEPT

    iptables -A INPUT -i eth0 -s 0/0 -p tcp —dport 1194 -j ACCEPT

    задача иметь доступ ко всему только через впн

    iptables -A INPUT -i eth0 -p tcp -m tcp —tcp-flags FIN,SYN,ACK,URG SYN -j REJECT —reject-with icmp-port-unreachable

    3: eth1:
    mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1

    iptables -A INPUT -p tcp -m state —state NEW —dport 1194 -j ACCEPT

    1: lo: mtu 16436 qdisc noqueue state UNKNOWN inet 127.0.0.1/8 scope host lo

    Я уже просто не знаю что бы такое сотворить.

    iptables -A OUTPUT -p tcp -sport 21 -j ACCEPT

    iptables -A OUTPUT -p tcp -sport 20 -j ACCEPT

    Как отключить iptables

    посмотри тему про proftpd — это тоже моя.

    iptables -A INPUT -p tcp -dport 21 -j ACCEPT

    аот и хочу iptables вырубить хотя 21 open

    Но на самом деле достаточно удалить все правила из всех таблиц:

    iptables -A INPUT -p udp -dport 21 -j ACCEPT

    Смотри в своем /etc/rc.d название и по названию:

    iptables -A OUTPUT -p udp -sport 20 -j ACCEPT

    как их вырубить чтобы их небыло? (только на время этого сеанса конечно)

    iptables -A OUTPUT -p udp -sport 21 -j ACCEPT

    здесь ХХХ.ХХХ.ХХХ.ХХХ — внешний адрес Linux’a

    Чтобы запомнить эти правила смотрим в /etc/init.d/iptables откуда берёт iptables свою конфигурацию при старте. Видим, что хранит он её в /etc/sysconfig/iptables. Сохраняем новую конфигурацию в этот файл:

    Разрешаем прямой доступ к внешней почте. Подробнее: разрешаем доступ хосту 10.0.3.41 из внутренней сети обращаться к хосту 217.217.217.217 на 25 порт (smtp) протокола tcp; такие обращения пропускаем через интерфейс eth1, который имеет адрес 116.116.116.116

    3. Добавте следующие правила в подходящем порядке в соответствии с уже созданными правилами.

    Вот правила iptables (нужна поддержка recent match в ядре):

    Необходимо получить доступ к рабочей станции Windows из Интернет. Рабочая станция находится в локальной сети и имеет адрес 192.168.1.1. Доступ в Интернет осуществляется через Линукс сервер, выполняющий роль файрвола, прокси и т.д.

    Ещё один вариант как настроить элементарный firewall выпускающий все наружу и закрывающий все входящие подключения приведён по адресу http://rlworkman.net/conf/firewall/rc.firewall.desktop.generic. Выполняем при старте системы скрипт:

    — На Windows клиенте открыть доступ к УРС:

    где «-О» это заглавная латинская буква «О». Посмотрим кто сопоставлен, к примеру, с портом 111:

    Свойства «Моего компьютера» — закладка Удалённые сеансы — поставить галочку на «Разрешить удалённый доступ к этому компьютеру»

    — Если ошиблись, то удаляем, изменяем и прописываем заново

    С глобальной сети будем подключаться к линуксовому серверу, который будет перенаправлять все запросы к УРС (т.е. на порт 3389) в локальную сеть на ip 192.168.1.1

    Оборонительные мероприятия обычно включают в себя:

    Ограничим количество параллельных подключений по HTTP до трех, для одного клиента

    Входящий пакет сначала попадает на сетевое устройство, после чего он перехватывается драйвером и передается в ядро. После этого пакет пропускается через ряд таблиц и только потом передается локальному приложению или перенаправляется в другую систему, если это транзитный пакет.

    Удалить правило, в котором адрес источника (192.168.1.15)

    В качестве действия можно указать и имя пользовательской цепочки. Например перекинем все пакеты с локальной сети в цепочку, где будет производиться дополнительная проверка:

    SYN-флуд можно проверить через подсчет числа полуоткрытых TCP-соединений

  • PREROUTING — используется для внесения изменений в пакеты на входе в iptables, перед принятием решения о маршрутизации;
  • POSTROUTING — используется для внесения изменений в пакеты на выходе из iptables, после принятия решения о маршрутизации;
  • INPUT — используется для внесения изменений в пакеты, перед тем как они будут переданы локальному приложению;
  • OUTPUT — используется для внесения изменений в пакеты, поступающие от приложения внутри iptables;
  • FORWARD — используется для внесения изменений в транзитные пакеты;
    • L — показать список правил;
    • v — отображать дополнительную информацию; * n — отображать ip адрес и порт числами (не используя DNS сервера для определения имен. Это ускорит отображение);
    • -line-numbers — вывод номеров строк;
      1. mangle – используется для внесения изменений в заголовок пакета;
      2. nat – используется для трансляции сетевых адресов;
      3. filter – для фильтрации трафика;
    • ACCEPT — разрешить пакет;
    • DROP — уничтожить пакет;
    • REJECT — будет отправлено ICMP сообщение, что порт недоступен;
    • LOG — информация об этом пакете будет добавлена в системный журнал. Не прерывает цепочку.
    • RETURN — возвращает пакет в ту цепочку, из которой он прибыл;
    • SNAT — применить source NAT ко всем удовлетворяющим условию пакетам. Может использоваться только в цепочках POSTROUTING и OUTPUT таблицы NAT;
    • DNAT — применить destination NAT ко всем удовлетворяющим условию пакетам. Может использоваться только в цепочке POSTROUTING таблицы NAT*.
    • MASQUERADE — может применяться только в цепочке POSTROUTING таблицы NAT. Используется при наличии соединения с динамическим IP. Похож на SNAT, однако имеет свойство забывать про все активные соединения при потере интерфейса. Это полезно при наличии соединения, на котором время от времени меняется IP-адрес, но при наличии постоянного IP это только доставит неудобства. В том числе поэтому рекомендуется для статических IP использовать SNAT.
    • Балансировка нагрузки с помощью iptables

      o-v-m.ru

      Это интересно:

      • Linux как выбрать разрешение Linux как выбрать разрешение Автоматическая настройка разрешения экрана не всегда работает так, как ожидается. При установке дистрибутива X-сервер выбирает самое большое значение разрешения экрана и частоты развёртки из возможных. Это верно для ЖК-мониторов, но не всегда верно для ЭЛТ, […]
      • Linux нет реестра Одна из самых горячих тем в российских госзакупках – импортозамещение программного обеспечения. Способствовать импортозамещению призван реестр российского программного обеспечения. У нашего реестра есть большие преимущества по сравнению с официальным: мгновенный поиск, полный поиск (не […]
      • Сайт ленинского районного суда ульяновск Ульяновск, Карла Маркса, 32 +7 (8422) 31–12–78 +7 (8422) 44–68–56 Информация График работы Ленинского районного суда г. Ульяновска: Ежедневно с 8.00 до 17.00 Перерыв на обед с 12.00 до 13.00 Выходные дни суббота, воскресенье Телефон (факс) приемной Ленинского районного суда […]
      • Не удается создать параметр ошибка при записи в реестре Не удалось создать или добавить новую учетную запись Microsoft в Windows 10 Если вы сталкиваетесь с проблемами при создании новой учетной записи Microsoft или при добавлении новой учетной записи Майкрософт для использования любого приложения Windows 10/8, то мы попытаемся выяснить […]
      • Правила за jailbreak Главная страница / Правила JailBreak Маленькая Тюрьма ПРАВИЛА JAILBREAK | МАЛЕНЬКАЯ ТЮРЬМА Запрещено оскорблять, унижать игроков или администрацию сервера, перебивать саймона. (предупреждение, gag от 5 минут) Запрещено использовать программные ошибки Серверов (баги) и […]
      • Представительство или филиал налоги Представительство или филиал налоги Большинство клиентов сталкиваются с необходимостью регистрации собственной иностранной компании. Но вот в каком качестве эта компания-нерезидент должна быть представлена в России? Будет ли это – «дочка», филиал, представительство или быть может […]
      • Купле продажа авто в волгограде купля продажи бу щековая дробилка в волгограде Оборудование б/у. IP телефония . Двери/ фурнитура (покупка, установка) . Дома – продажа . Волгоградская обл. . Предмет запроса 1809 Щековая дробилка ДРО745 ЗАО Дробмаш Запчасти · Поставка фрезеров забойных. недвижимость за рубежом, […]
      • Правила на jail в css v34 Мониторинг серверов css v34 MONITOR-CSS.RU - успешный мониторинг серверов css v34, который является самым популярным и качественным мониторингом игровых серверов css. У нас доступен очень огромный архив игровых серверов о которых есть вся информация: количество игроков, карта, ip адрес, […]