Örnek iptables kuralları

Kural listesini görmek için
# iptables -L [zincir]

Kural listesini silmek için
# iptables -F [zincir]

Yeni bir zincir eklemek için
# iptables -N ZİNCİR

Bir zinciri silmek için (INPUT, OUTPUT ve FORWARD zincirileri silinemez!)
# iptables -D CHAIN1

iptables kurallarını kaydetmek için
# iptables-save > /etc/sysconfig/iptables

iptables kural listesini yüklemek için
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward (opsiyonel)
iptables-restore < /etc/sysconfig/iptables

Tüm ağ trafiğini engelemek için

# iptables -F
# iptables -A INPUT -j REJECT
# iptables -A OUTPUT -j REJECT
# iptables -A FORWARD -j REJECT

Tüm gelen trafiği engellemek için
# iptables -F INPUT
# iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
# iptables -A INPUT -j REJECT

Tüm giden trafiği engellemek için
# iptables -F OUTPUT
# iptables -A OUTPUT -m state –state ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -j REJECT

Bir servise gelen istekleri engellemek
# iptables -A INPUT -p tcp –dport www -j REJECT

Sadece servise gelen yerel istekleri kabul ederek diğerlerini engellemek için.
# iptables -A INPUT -p tcp -i lo –dport www -j ACCEPT
# iptables -A INPUT -p tcp –dport www -j REJECT

Belirli bir sistemden gelen bağlantıları engellemek.
# iptables -A INPUT -s uzak_IP_adresi -j REJECT

Belirli adreslerden belirli servisle erişimlere izin vermek ve diğer servislere erişimleri engellemek.
# iptables -A INPUT -s IP_address_1 [-p protocol –dport service] -j ACCEPT
# iptables -A INPUT -s IP_address_2 [-p protocol –dport service] -j ACCEPT
# iptables -A INPUT -s IP_address_3 [-p protocol –dport service] -j ACCEPT
# iptables -A INPUT [-p protocol –dport service] -j REJECT

Uzaktaki bir sisteme erişilmesini engellemek
#iptables -A OUTPUT -d uzak_IP_adresi -j REJECT

Uzaktaki bir sistem üzerindeki bir servise erişimin engellenmesi
# iptables -A OUTPUT -p tcp -d uzak_IP_adresi –dport www -j REJECT

Belirli bir ağ adresindeki bir servise erişimlerin engellenmesi
(Bu örnekte yahoo’nun ağındaki web servislerine erişimi engelliyoruz.)
# iptables -A OUTPUT -p tcp -d 64.58.76.0/24 –dport www -j REJECT

www, ssh, and smtp. servislerine izin vermek ve diğer servislere lo arabirmi dışında
erişimi engellemek.

# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m multiport -p tcp –dport www,ssh,smtp -j ACCEPT
# iptables -A INPUT -j LOG -m limit
# iptables -A INPUT -j REJECT

Belirli bir mac adresi dışında gelen istekleri reddetmek.

# iptables -F INPUT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m mac –mac-source 12:34:56:89:90:ab -j ACCEPT
# iptables -A INPUT -j REJECT

lo arabirimi dışında diğer tüm arabirimlerde ssh dışında tüm erişimi engellemek.

# iptables -F INPUT
# iptables -A INPUT -p tcp –dport ssh -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -j REJECT

Ping (ICMP Type 8 echo request) isteklerini engellemek.
# iptables -A INPUT -p icmp –icmp-type echo-request -j DROP

Log tutmak
# iptables -N LOG_DROP
# iptables -A LOG_DROP -j LOG –log-level warning –log-prefix “dropped” -m limit
# iptables -A LOG_DROP -j DROP
Loglanması gereken durumu içeren kuraldan sonra LOG_DROP zinciri çağırılacak:)

# iptables …kurallar… -j LOG_DROP

URL Filtreleme
iptables -A INPUT -p tcp –dport 80 -m string
–algo bm  –string /test  -j REJECT –reject-with tcp-reset

Categories: IT

No Comments

Post a Comment