Рубрики
iptables \ Fail2ban

iptables: конспект / iptables / conntrack / NAT / sysctl

Ссылки:

трафик_микротик трафик_mikrotik трафик_две_сетевушки chains netfilter

Таблицы и цепочки:

Настройка политики

IPTABLES основное:

Построение правил в iptables

Критерии:

Действия(-j):

Терминальные и нетерминальные действия:

Удаление правил брандмауэра

Добавление правил брандмауэра

Блокировать весь трафик:

Блокировать только входящий трафик:

Блокировка сетевых адресов локальной сети на внешнем интерфейсе

Диапазон адресов IPv4 для частных сетей (убедитесь, что они заблокированы на внешнем интерфейсе)

Блокировка IP-адресов

Блокировка входящие запросов на порт

Блокировка исходящего IP-адреса

Логирование и блокирование пакетов

Блокирование или разрешение трафика от Mac-адреса

Запретить или разрешить ICMP запросы для ping

Ограничить число одновременных подключений к серверу для каждого клиента по IP

INPUT разрешаем

INPUT drop

NAT

IP FORWARD / MASQUERADE / Включение IP Forward

Пример работы своей цепочки(из wiki):

iptables ipset (списки)

Сохранение правил брандмауэра

Восстановление правил брандмауэра

Остановка, перезапуск, запуск брандмауэра Если у Вас CentOS / RHEL / Fedora Linux, вводите:

Чтобы отчистить правила iptables его собственными средствами введите:

Очистка таблицы filter:

Очистка таблицы nat:

Очистка таблицы mangle:

Чистим ветки логов:

Разрешаем принимать трафик на loopback-интерфейсе:

Разрешение исходящего трафика:

Разрешить соединения, которые инициированы изнутри

Следующими правилами разрешаем коннекты на наш сервер из вне:

Проброс RDP на сервер терминалов:

Выход из локалки на почтовые сервера

Заворачиваем трафик на порт сквида:

Если прокси не установлена,либо нет нужды в использовании SQUID, то просто форвардим нужные порты:

Прячем NAT:

Все что не разрешено, но ломится отправим в цепочку undef:

Антибрут ssh:

Разрешаем некоторые ICMP-сообщения

open firewall:

sysctl \ conntrack

NAT tweak