Firewall

Fra wiki.iptables.dk
Skift til: navigering, søgning

Firewalling er grundigt beskrevet i videoen på forsiden.

Eksempler

Host filrewall

# Ved at sende tcp-reset, opfattes en port som lukket, og en telnet til porten vil ikke hænge.
-N REJECT_NICE
-A REJECT_NICE -p tcp -j REJECT --reject-with tcp-reset
-A REJECT_NICE -j REJECT --reject-with icmp-port-unreachable

# Det fungere altid bedst hvis man tillader traffik lokalt inden i maskinen.
-A INPUT -i lo -j ACCEPT

# Hvis maskinen har et netkort til kun lokalt traffik, kan tillade alt traffik til det.
-A INPUT -i vlan5 -j ACCEPT

# Hvis en bestemt ip-range er trusted, kan man tillade den.
-A INPUT -s 192.168.0.0/16 -j ACCEPT

# Åben port 22. Men tillad kun 10 nye forbindelser per 5 minutter fra samme IP.
-N INPUT_SSH
-A INPUT_SSH -m recent --set --name SSH_IN --rsource
-A INPUT_SSH -m recent --rcheck --seconds 300 --hitcount 10 --name SSH_IN --rsource -j DROP
-A INPUT_SSH -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j INPUT_SSH

# Åben porten 80,443.
-A INPUT -p tcp --sport 80 -j ACCEPT
-A INPUT -p tcp --sport 443 -j ACCEPT

# Tillad ping-svar.
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# Luk for alt andet end retur-trafik.
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT_NICE
-P INPUT DROP