IpTables : Using IpTables
Основная справка по iptables - man iptables
Изначально существуют три цепочки - INPUT, OUTPUT and FORWARD , которые встроены в ядро
и их уже нельзя удалить .
С цепочками можно делать :
1. -N - создать новую цепочку
2. -X - удалить цепочку
3. -P - изменить свойство
4. -L - пролистать правила в цепочке
5. -F -
6. -Z - обнуление счетчиков для правил
С правилами в цепочке можно :
1. -A - добавлять
2. -I - вставлять в определенную позицию
3. -R - заменять на другую
4. -D - удалять .
Рассмотрим пример : ping -c 1 127.0.0.1
мы пингуем себя , посылая 1 icmp-пакет . Определим правило , которое запрещает
принимать любые пакеты с адреса 127.0.0.1 :
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
Опция -p определяет протокол , опция -s определяет адрес , откуда идет пакет ,
Опция -d определяет адрес назначения .
Опция -i определяет входящий интерфейс .
Опция -o определяет выходящий интерфейс .
Опция -s эквивалентна также --source и --src .
Опция -d эквивалентна также --destination и --dst .
Опция -i эквивалентна также --in-interface .
Опция -o эквивалентна также --out-interface .
Список интерфейсов можно посмотреть командой ifconfig .
Адреса -s и -d можно определять 4 путями :
1. Полное имя - например localhost
2. ip address
3. группа адресов в форме 199.95.207.0/24
4. группа адресов в форме 199.95.207.0/255.255.255.0
Символ ! озачает логическое NOT .
Например , `-s ! localhost' означает : любой входящий пакет не с локал-хоста .
Например , `-p ! TCP' означает : любой протокол кроме tcp .
Любое правило с префиксом -o в цепочке INPUT , естественно , работать не будет .
Лишь цепочка FORWARD позволяет присутствовать правилам для обоих интерфейсов и -i и -o .
|
| user | iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP - нужно исправить на:
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
2016-04-21 13:53:47 | | Яковлев Сергей | Спасибо
2016-04-21 20:47:52 | |
|
|
LINUX