Blog

Reguli de ALLOW / DENY IP Tables

By C December 22, 2015

Salut,

Mai jos regasiti cele mai importante reguli pentru a aduga in whitelist sau blacklist o adresa IP sau un port :

1.Blocare adresa IP

#iptables -A INPUT -s xx.xx.xx.xx -j DROP - unde xx.xx.xx.xx este adresa IP dorita

2.Blocarea unei adrese IP pe un anumit port :

#iptables -A INPUT -p tcp -s xx.xx.xx.xx --dport PORT -j DROP - unde xx.xx.xx.xx este adresa IP dorita iar PORT este portul dorit

3.Adaugare adresa IP in whitelist :

#iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT - unde xx.xx.xx.xx este adresa IP dorita

4. Acceptarea unei adrese IP pe un anumit port :

#iptables -A INPUT -p tcp -s xx.xx.xx.xx --dport PORT -j ACCEPT - unde xx.xx.xx.xx este adresa IP dorita iar PORT este portul dorit

5.Acceptarea tuturor conexiunilor SSH :

#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

6.Acceptarea conexiunilor SSH doar dintr-o anumita retea :

#iptables -A INPUT -i eth0 -p tcp -s xx.xx.xx.xx/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

7.Acceptarea conexiunilor HTTP :

#iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

8.Acceptarea conexiunilor HTTPS :

#iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

9.Acceptarea muliplelor porturi (SSH, HTTP si HTTPS) :

#iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT

10.Acceptarea conexiunilor SSH outgoing :

#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

11.Acceptarea conexiunilor SSH outgoing doar catre o anumita retea :

#iptables -A OUTPUT -o eth0 -p tcp -d 192.168.101.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

12.Acceptarea conexiunilor HTTPS outgoing :

#iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

13.Acceptare loopback :

#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT

14. Acordare acces in internet de pe o retea locala :

Daca eth1 este conectat la o retea externa (internet) si eth0 este conectat la o retea locala (192.168.0.x) se acorda acces pentru eth0 in internet cu :

#iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

15.Acordare acces outbound DNS :

#iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
#iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

16.Acceptarea conexiunilor MySQL dintr-o anumita retea :

#iptables -A INPUT -i eth0 -p tcp -s xx.xx.xx.x/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT

17.Acordare acces Postfix si Sendmail  :

#iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

18.Acordare acces IMAP si IMAPS :

#iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

19.Acordare acces POP3 si POP3S

#iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

20.Prevenire atacuri D0S :

#iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

21. Pentru a sterge toate regulile de IP TABLES :

#iptables -F

C.

Firewall

Facebooktwitterredditpinterestlinkedinmail

2 thoughts on “Reguli de ALLOW / DENY IP Tables

  • Salut,

    pentru regula:
    17.Acordare acces Postfix si Sendmail
    a nu se uita si de adaugarea portului 26, altfel cei cu RDS-RCS si alte retele de date mobile o sa trimita emailuri doar daca cer acest lucru explicit catre furnizorul de internet (respectiv deblocarea portului 25).

    Spor!

  • salut. am si eu o intrebare . am un server centos. eth0 conexiune rds si eth1 retea interna. (la nivel home user – in viitor firma mica de vreo 500 abonati maxim)
    am 5 ip-uri publice .
    cum aloc aceste 5 ip-uri publice la 5 statii din lan-ul eth1 ? fiecare statie din lan sa aiba cate 1 ip public care trece prin serverul asta centos .
    am inteles ca nu se foloste prin NAT . nu trebuie routate … trebuie numai alocate dar nu stiu comenzile.

Leave a Reply

Your email address will not be published. Required fields are marked *

You're not a robot ! *