Ben iptables WAN karşı karşıya, sadece tek bir arayüz, eth0 filtre istiyorum. Bu nasıl yapılabilir? Ve eth0 üzerinde ftp ve ssh portlarını açık tutmak istiyorum.
Yanıtlar:
Yani bir tanesi dışındaki tüm arabirimler için tüm trafiği kabul etmek istiyorsunuz ve eth0'da ftp ve ssh hariç tüm gelen trafiği bırakmak istiyorsunuz.
İlk olarak, varsayılan olarak tüm trafiği kabul etme politikası belirleyebiliriz.
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Ardından, güvenlik duvarı kurallarınızı sıfırlayabiliriz.
iptables -F
Şimdi, zaten izin verdiğimiz bir bağlantının bir parçası olan eth0 üzerinde gelen trafiğe izin vermek istediğimizi söyleyebiliriz.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Ayrıca eth0 üzerinden gelen ssh bağlantılarına izin vermek istiyoruz.
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
Ancak eth0'a gelen başka bir şey bırakılmalıdır.
iptables -A INPUT -i eth0 -j DROP
Biraz daha derinlik için bu CentOS wiki girişine bakın .
FTP rastgele bir bağlantı noktası kullanabildiğinden ssh'den daha zorlayıcıdır, bu nedenle bu önceki soruya bakın .
Böyle bir şey işi yapmalıdır:
iptables -A INPUT -i eth1 -p all -j DROP
iptables -A INPUT -i eth0 -p all -j ACCEPT
ACCEPTve diğer arabirimlerdeki her şeyi filtrelemek için kurallar yazın .
İptables kuralınızda bir arabirim belirtme seçeneği -iörn.: -i eth0.
Bir iptableskural oluşturduğunuzda çok basittir, o zaman arayüzü belirtmeniz gerekir. Üzerinde iptablesçalışması gereken LAN kartını belirleme seçeneği-i
Aşağıdaki kurallar size iyi bir örnek verebilir
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
Son kural, ilk 2 kurala uymayan diğer paketleri reddetmektir. iptablesİçindeki tüm kurallar verilen sırayla yürütülür, bu nedenle paketleri reddetme kuralı her zaman sonuncudur.