Reguli de ALLOW / DENY IP Tables
Salut,
Mai jos regasiti cele mai importante reguli pentru a aduga in whitelist sau blacklist o adresa IP sau un port :
1.Blocare adresa IP
#iptables -A INPUT -s xx.xx.xx.xx -j DROP - unde xx.xx.xx.xx este adresa IP dorita
2.Blocarea unei adrese IP pe un anumit port :
#iptables -A INPUT -p tcp -s xx.xx.xx.xx --dport PORT -j DROP - unde xx.xx.xx.xx este adresa IP dorita iar PORT este portul dorit
3.Adaugare adresa IP in whitelist :
#iptables -A INPUT -s xx.xx.xx.xx -j ACCEPT - unde xx.xx.xx.xx este adresa IP dorita
4. Acceptarea unei adrese IP pe un anumit port :
#iptables -A INPUT -p tcp -s xx.xx.xx.xx --dport PORT -j ACCEPT - unde xx.xx.xx.xx este adresa IP dorita iar PORT este portul dorit
5.Acceptarea tuturor conexiunilor SSH :
#iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
6.Acceptarea conexiunilor SSH doar dintr-o anumita retea :
#iptables -A INPUT -i eth0 -p tcp -s xx.xx.xx.xx/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
7.Acceptarea conexiunilor HTTP :
#iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
8.Acceptarea conexiunilor HTTPS :
#iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
9.Acceptarea muliplelor porturi (SSH, HTTP si HTTPS) :
#iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
10.Acceptarea conexiunilor SSH outgoing :
#iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
11.Acceptarea conexiunilor SSH outgoing doar catre o anumita retea :
#iptables -A OUTPUT -o eth0 -p tcp -d 192.168.101.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
12.Acceptarea conexiunilor HTTPS outgoing :
#iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
13.Acceptare loopback :
#iptables -A INPUT -i lo -j ACCEPT #iptables -A OUTPUT -o lo -j ACCEPT
14. Acordare acces in internet de pe o retea locala :
Daca eth1 este conectat la o retea externa (internet) si eth0 este conectat la o retea locala (192.168.0.x) se acorda acces pentru eth0 in internet cu :
#iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
15.Acordare acces outbound DNS :
#iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT #iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
16.Acceptarea conexiunilor MySQL dintr-o anumita retea :
#iptables -A INPUT -i eth0 -p tcp -s xx.xx.xx.x/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
17.Acordare acces Postfix si Sendmail :
#iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT
18.Acordare acces IMAP si IMAPS :
#iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT
19.Acordare acces POP3 si POP3S
#iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
20.Prevenire atacuri D0S :
#iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
21. Pentru a sterge toate regulile de IP TABLES :
#iptables -F
C.
Salut,
pentru regula:
17.Acordare acces Postfix si Sendmail
a nu se uita si de adaugarea portului 26, altfel cei cu RDS-RCS si alte retele de date mobile o sa trimita emailuri doar daca cer acest lucru explicit catre furnizorul de internet (respectiv deblocarea portului 25).
Spor!
salut. am si eu o intrebare . am un server centos. eth0 conexiune rds si eth1 retea interna. (la nivel home user – in viitor firma mica de vreo 500 abonati maxim)
am 5 ip-uri publice .
cum aloc aceste 5 ip-uri publice la 5 statii din lan-ul eth1 ? fiecare statie din lan sa aiba cate 1 ip public care trece prin serverul asta centos .
am inteles ca nu se foloste prin NAT . nu trebuie routate … trebuie numai alocate dar nu stiu comenzile.