กฎ iptables เพื่อบล็อกปริมาณการใช้งานที่ไม่ได้ระบุไว้ในกฎอื่นทั้งหมด

1

มีวิธีเพิ่มกฎใน iptable เพื่อบล็อกปริมาณข้อมูลที่ไม่ได้ระบุ / ครอบคลุมในกฎอื่น ๆ ทั้งหมดหรือไม่? ฉันรู้ว่าเราสามารถใช้! เพื่อบล็อกพอร์ตเฉพาะและที่อยู่ IP แต่มีกฎมากเกินไปใน iptable ของฉันที่จะจัดการกับกฎทุกข้อ

ขอบคุณ

unix iptables

— user2103008
แหล่งที่มา

มันสามารถกำหนดค่าใน "ยอมรับโดยกฎบล็อกใด ๆ โดยค่าเริ่มต้น" หรือ "บล็อกตามกฎยอมรับใด ๆ โดยค่าเริ่มต้น" ตัวอย่างทั่วไปการกำหนดค่าเริ่มต้นควรมี "บล็อกโดยค่าเริ่มต้น" ที่อินเทอร์เฟซภายนอกและ "ยอมรับโดยค่าเริ่มต้น" บนอินเทอร์เฟซภายใน (หรืออินเทอร์เฟซที่ปลอดภัย)

ในการตั้งค่า iptables คุณต้องจัดการมันทีละตัว ไปอูบุนตู gufw ถ้าคุณไม่ต้องการจัดการมัน ubuntugeek.com/…

หากคุณกำลังพยายามบล็อกสิ่งต่าง ๆ ที่คุณกำลังทำย้อนหลัง คุณต้องตั้งค่านโยบายการปล่อยเริ่มต้นแล้วอนุญาตการรับส่งข้อมูลที่คุณรู้ว่าดี

— Zoredache

1-200,200-2000 มีกฎกี่ข้อหรือมากกว่า 2000

— cybernard

0

คุณสร้างกฎของคุณด้วยวิธีการยอมรับ

iptables -A INPUT <good traffic> -J ACCEPT
iptables -A INPUT <good traffic> -J ACCEPT
iptables -A INPUT <good traffic> -J ACCEPT
iptables -A INPUT <good traffic> -J ACCEPT
iptables -A INPUT DROP

สิ่งสุดท้ายทิ้งทุกสิ่งที่คุณไม่ได้รับก่อนหน้านี้ การตั้งค่าจะซับซ้อนมากขึ้นถ้าคุณมีมากกว่า 1 นิค

เพื่อให้การปรับแต่งง่ายขึ้นคุณควรใช้เครือข่ายหากยังไม่มี

iptables -A INPUT -i eth0 -j input_eth0
iptables -A INPUT-i eth1 -j input_eth1
iptables -A INPUT-i eth2 -j input_eth2

ฯลฯ

จากนั้นคุณดำเนินการต่อตามที่ฉันแนะนำ

iptables -A input_eth0 <good traffic> -J ACCEPT
... 
iptables -A input_eth0 -J DROP

iptables -A input_eth1 <good traffic> -J ACCEPT 
iptables -A input_eth1 -J DROP

นอกจากนี้กฎเหล่านี้ที่ด้านบนของรายการจะช่วยให้คุณมั่นใจได้ว่าทราฟฟิกที่มีอยู่นั้นมาจากภายในเครือข่ายของคุณและเข้าสู่เครือข่ายของคุณได้อย่างอิสระ

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT

— cybernard
แหล่งที่มา

0

$ IPTABLES - อินพุต -j DROP   
$ IPTABLES -A เอาท์พุท -j DROP
$ IPTABLES - ต่อไป -j DROP

— davidgo
แหล่งที่มา

0

กฎที่ระบุโดย davidgo และ cybernard นั้นถูกต้องและ cybernard จะวางตำแหน่งให้ถูกต้อง ให้ฉันอธิบายว่าทำไม

กฎ Iptables ถูกใช้ตามลำดับ: จากบนลงล่าง ทันทีที่พบอย่างใดอย่างหนึ่งที่ใช้กับแพ็คเก็ตที่เป็นปัญหาการกระทำที่ระบุโดยกฎ "แรก" นี้จะถูกนำไปใช้โฆษณากฎต่อไปนี้ทั้งหมดจะถูกละเลย

ดังนั้นโครงสร้างทั่วไปของรายการของกฎ iptables จึงรวมถึง "กฎเริ่มต้น" ซึ่งถูกทิ้งให้เป็นไฟล์สุดท้าย เป็นกฎเริ่มต้นคือกฎที่เราใช้เมื่อกฎอื่น ๆ ทั้งหมดไม่เหมาะสมดังนั้นเราจึงควรปล่อยให้เป็นกฎล่าสุด หากกฎเริ่มต้นคือกฎ DROP กฎก่อนหน้านี้ทั้งหมดจะเป็นกฎ ACCEPT เท่านั้น จากนั้นแพ็กเก็ตใด ๆ ที่ไม่มีกฎ ACCEPT จะต้องถูกยกเลิกและสิ่งนี้จะได้รับการดูแลโดยใช้กฎเริ่มต้น กล่าวอีกนัยหนึ่งถ้ากฎเริ่มต้นคือ DROP คุณจะต้องใช้กฎ ACCEPT เท่านั้นและถ้ากฎเริ่มต้นคือ ACCEPT คุณก็ต้องมีกฎ DROP

สุดท้ายคุณสามารถบรรลุเป้าหมายเดียวกันโดยใช้คำแนะนำ

iptables -P INPUT -J DROP

ซึ่งกำหนด "default policy" (-P) สำหรับ chain INPUT และนโยบายเริ่มต้นนั้นคือ DROP มันมีผลเช่นเดียวกับกฎที่กล่าวถึงข้างต้น แต่การใช้งานนั้น จำกัด มากขึ้น (ดูหน้า man Linux สำหรับ iptables ที่นี่ )

— MariusMatutiae
แหล่งที่มา