Gerenciando iptables para ips e portas específicas

Navegue suas respostas
1

Eu desabilito o firewall assim: 

#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Atualizar

Também ative meu firewall: 

 #!/bin/bash

ssh=x.x.x.x
http='x.x.x.x y.y.y.y'

# Clear any previous rules.
iptables -F

# Default drop policy.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Allow anything over loopback.
iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# Drop any tcp packet that does not start a connection with a syn flag.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Drop any invalid packet that could not be identified.
iptables -A INPUT -m state --state INVALID -j DROP

# Drop invalid packets.
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN              -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST              -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST              -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,FIN FIN                  -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG                  -j DROP

# Allow TCP/UDP connections out. Keep state so conns out are allowed back in.
iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT  -p udp -m state --state ESTABLISHED     -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow only ICMP echo requests (ping) in. Limit rate in. Uncomment if needed.
iptables -A INPUT  -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED --icmp-type echo-request -j ACCEPT

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source $ssh -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j DROP

for web in $http; do
    iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED --source $web -p tcp -m multiport --dports 80,443 -j ACCEPT
    iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p tcp -m multiport --dports 80,443 -j DROP
done


# or block ICMP allow only ping out
iptables -A INPUT  -p icmp -m state --state NEW -j DROP
iptables -A INPUT  -p icmp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT

Então eu quero apenas x.x.x.x ser capaz de ssh para mim. e também quero que os ips seguintes vejam meus 80,443 ports: 

x.x.x.x
y.y.y.y

como posso alterá-lo?

    
por MLSC 30.12.2015 / 15:21

1 resposta

1

Acho que você está colocando suas regras na ordem errada. No iptables, o -A acrescenta à cadeia, não o insere antes dela. Normalmente você tem ... 

iptables -A INPUT  -p tcp -m state --state ESTABLISHED     -j ACCEPT

e, em seguida, 

# Drop any tcp packet that does not start a connection with a syn flag.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Em vez de alterar a ordem, você pode reescrevê-la com -I INPUT 1 , de modo que cada regra seja inserida antes da anterior, ou seja, na parte superior. Mas as regras tail ping / icmp terão que ser movidas nesse caso.

Agora, voltemos à sua pergunta: 

iptables -N SSH_CHECK
iptables -N HTTP_CHECK

iptables -A INPUT -p tcp --dport 22 -j SSH_CHECK
iptables -A INPUT -p tcp --dport 80 -j HTTP_CHECK
iptables -A INPUT -p tcp --dport 443 -j HTTP_CHECK

iptables -A SSH_CHECK -s x.x.x.x -j ACCEPT -m comment --comment "allow joe to ssh from his IP"
iptables -A HTTP_CHECK -s y.y.y.y -j ACCEPT -m comment --comment "allow mary to visit my HTTP/S server"

Sua política de descarte padrão cuida dos IPs que não estão em conformidade.

    
por 30.12.2015 / 19:33

Tags

Carregue um arquivo grande no Sourceforge mpack descrição (-d) de uma variável de script