iptables permite apenas determinados ip's de uma determinada porta

Question

iptables permite apenas determinados ip's de uma determinada porta

#1 resposta do (4 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)

1

Eu sempre fico nervoso ao editar o iptables, pois sei o quão simples pode ser acabar bloqueando todo o tráfego para o servidor, um problema bastante grande quando o servidor está na nuvem.

Estas seriam as séries corretas de comandos?

iptables -A INPUT -p tcp --dport 123 -s 1.2.3.4 -j ACCEPT 
iptables -A INPUT -p tcp --dport 123 -s 5.6.7.8 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j DROP
iptables-save

iptables firewall linode

por The Digital Ninja 05.02.2013 / 18:05

3 respostas

Tags iptables firewall linode

O servidor ESXi desativa as unidades de disco rígido quando nenhuma atividade de disco é detectada? Usuário do domínio efetuou login com o Perfil temporário no Windows Server 2008 R2 64 Bit OS

score 4 · Answer 1

Isso não responde à sua pergunta - os outros estão fazendo um bom trabalho com isso -, mas ela resolve sua outra preocupação: bloquear seu servidor remoto. Sempre que estou fazendo uma grande mudança de iptables em um sistema, sempre verifico que atd está em execução, depois coloque um trabalho at por aproximadamente 10 minutos no futuro para desativar o firewall, algo como

at now + 10 minutes
at> service iptables stop
at> ^D

Dessa forma, sei que se eu realmente me atrapalhar e me trancar, dentro de dez minutos, poderei voltar e consertar as coisas. Se eu terminar meu trabalho e não tiver conseguido, posso encontrar esse trabalho com atq e excluí-lo com atrm antes mesmo de ser executado.

score 2 · Answer 2

Deve funcionar, mas pode ser melhorado. Você não postou qual é a sua política INPUT padrão. Se for ACCEPT, então seus comandos devem funcionar, embora não seja o mais recomendado. Se for DROP, você não precisa da linha antes de iptables-save .

A política mais recomendada para o iptables, assim como para qualquer outro firewall, é DROP TUDO e depois permitir explicitamente as portas / protocolos que você deseja permitir. Então você começa com isso -

iptables -A INPUT -j DROP

Em seguida, você permite explicitamente o tráfego de entrada destinado à porta 123 / tcp

iptables -A ENTRADA -p tcp --dport 123 -s 1.2.3.4 -j ACCEPT

iptables -A INPUT -p tcp --dportar 123 -s 5.6.7.8 -j ACEITAR

score 0 · Answer 3

No pacote debian iptables, há '/ usr / sbin / iptables-apply', que pergunta se estão tudo bem depois de aplicar as alterações, se você não replicar a pergunta, as alterações serão desfeitas.