3. RAKOVICS BENEDEK : IPTABLES 3
Szabályok alkotása
Bejövő forgalom tiltása
Bármely csatolón bejövő forgalom tiltása adott IP címről
iptables -A INPUT -s 0.0.0.0/0 -j DROP
Az eth0 hálózati csatolón bejövő forgalom tiltása
iptables -A INPUT -i eth0 -j DROP
A 80-as portra bejövő forgalom tiltása
iptables -A INPUT –p tcp –dport 80 -j DROP
Az 53-as portról válaszoló bejövő forgalom tiltása
iptables -A INPUT –p tcp –sport 53 -j DROP
Adott MAC címről bejövő forgalom tiltása
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP
Adott időintervallumban a forgalom tilása (Patch-O-Matic)
iptables -A INPUT -m time --timestart 08:00 --timestop 17:00 -j DROP
Belső forgalom engedélyezése
Két irányba alapértelmezett belső csatoló esetén
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Két irányba egyedi belső IP cím esetén
iptables -A INPUT –s 0.0.0.0/0 -j ACCEPT
iptables -A OUTPUT -o 0.0.0.0/0 -j ACCEPT
ICMP forgalom engedélyezése
Echo avagy pingelés engedélyezése kifelé
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
Echo avagy pingelés engedélyezése befelé
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
Rekurzív DNS forgalom engedélyezése
Rekurzív névfeloldási kérelmek és válaszok engedélyezése kliens oldalról
iptables -A OUTPUT -p udp -d 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0.0.0.0/0 --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --sport 53 -j ACCEPT
4. RAKOVICS BENEDEK : IPTABLES 4
SSH forgalom engedélyezése
Távfelügyeleti kérelmek és válaszok engedélyezése kliens oldalról
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
Távfelügyeleti kérelmek és válaszok engedélyezése szerver oldalról
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
HTTP és HTTPS forgalom engedélyezése
Weblap kérelmek és válaszok engedélyezése kliens oldalról
iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --sport 443 -j ACCEPT
Weblap kérelmek és válaszok engedélyezése szerver oldalról
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
SAMBA forgalom engedélyezése
Samba kérelmek és válaszok engedélyezése belső hálózatról
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -d 0.0.0.0/0 -p tcp --sport 137 -j ACCEPT
iptables -A OUTPUT –d 0.0.0.0/0 -p tcp --sport 138 -j ACCEPT
iptables -A OUTPUT -d 0.0.0.0/0 -p tcp --sport 139 -j ACCEPT
iptables -A OUTPUT -d 0.0.0.0/0 -p tcp --sport 445 -j ACCEPT
Levelező forgalom engedélyezése
Titkosítás nélküli kérelmek és válaszok engedélyezése szerver oldalról
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 993 -j ACCEPT
Aktív FTP forgalom engedélyezése
Titkosítás nélküli kérelmek és válaszok engedélyezése szerver oldalról
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 –j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 –j ACCEPT
5. RAKOVICS BENEDEK : IPTABLES 5
Átirányított forgalom
Átmenő forgalom engedélyezése
Átirányítás lehetőségének engedélyezése
echo 1 > /proc/sys/net/ipv4/ip_forward
Többoldalú kérelmek és válaszok engedélyezése
iptables -A FORWARD -i eth1 –o eth0 -j ACCEPT
Bejövő forgalom átirányításának tiltása
iptables -A FORWARD -i eth0 -o eth1 -j DROP
Belülről kezdeményezett kapcsolatok engedélyezése
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
Címálcázás belső engedélyezése
Hálózati címek álcázásának engedélyezése kimenő forgalomnál
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Port továbbítás engedélyezése
Külső forgalom továbbítása belső címre azonos portra
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination
0.0.0.0:80
Külső forgalom átirányításának belső engedélyezése adott címre
iptables -A FORWARD -p tcp -d 0.0.0.0 --dport 80 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
2015.11.30.
benedek@rakovics.hu