Como você bloqueia novas conexões tcp de entrada na porta X?

4

Como você bloqueia novas conexões tcp de entrada na porta X? Precisa ser feito com o iptables. Na verdade, eu tenho um comando iptables funcionando, mas sempre chegamos ao ip_conntrack_max mesmo quando o ip_conntrack_max está muito alto. Existe uma maneira de fazer isso sem acompanhar?

    
por user30199 02.02.2010 / 20:17

3 respostas

5

Se você quiser bloquear as tentativas de estabelecer novas sessões para uma determinada porta, mas ainda permitir que os pacotes passem por sessões estabelecidas, você precisará fazer algo como:

iptables -A INPUT -j DROP -p tcp --syn --destination-port dport

Isso deve permitir qualquer conexão iniciada na máquina local, que por acaso use dport como seu número de porta local.

    
por 03.02.2010 / 09:30
1

isso deve bloquear o tráfego sem envolver o conn_track:

iptables -A INPUT -j DROP -p tcp --destination-port <your port>
O

acompanhamento de conexão só deve funcionar quando você especifica -m state ou --state em suas regras.

    
por 03.02.2010 / 08:17
0

Eliminar --syn interromperá novas conexões e não deverá haver nenhuma conexão semiaberta para rastrear. Em geral, a filtragem "sem acompanhar" é possível no estágio -t raw -I PREROUTING .

    
por 11.12.2014 / 22:19