Вопросы Теги

iptables, блокирующийся с интернет-стороны на eth1?

Этот файл находится в основной системе, так захватите основной системный архив и извлечение что конкретный файл.

cd /tmp
wget -r ftp://ftp.fi.freebsd.org/pub/FreeBSD/releases/i386/8.2-RELEASE/base
cd /
cat /tmp/ftp.fi.freebsd.org/pub/FreeBSD/releases/i386/8.2-RELEASE/base/base.?? |
tar -xzf - etc/rc.d/rtadvd

С другой стороны, так как этот файл идентичен своему источнику, можно захватить etc/rc.d/rtadvd от исходного дерева, любого в Вашей системе, если Вы распаковали его (/usr/src/etc/rc.d/rtadvd) или в сети. Я ожидал бы, что файл будет в /etc/rc.d в исходном структурном виде CVS с RELENG_8_2_0_RELEASE тег; я не знаю, почему это не появляется там. Можно получить его от svn исходного структурного вида в release/8.2.0 ответвление.

2
06.02.2013, 01:19
2 ответа

Можно использовать -i device и -o device соответствовать устройствам Ethernet. Например,

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT # must allow machine to talk to itself, else much breakage.
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Или подобный. Можно также использовать -s/-d отфильтровать на источнике и целевом IP-адресе.

Я предлагаю назвать Ваши интерфейсы Ethernet, так, чтобы Вы могли иметь -i lan & -i wan вместо этого. Можно назвать их в правилах udev. На Debian Вы отредактировали бы /etc/udev/rules.d/70-persistent-net.rules.

PS: При фильтрации интерфейса глобальной сети удостоверьтесь, что DHCP все еще работает при использовании его. Еще Ваше соединение загадочно повредится, когда арендный договор истечет, который мог быть некоторое время позже.

3
27.01.2020, 22:14
  • 1
    я вижу, спасибо. Делает iptables -P INPUT DROP обратиться ко всем устройствам Ethernet? Которые означают, отбрасывают все по умолчанию ко всем доступным устройствам Ethernet? –  I'll-Be-Back 06.02.2013, 02:55
  • 2
    @I'll-Be-Back, Это устанавливает то, что происходит, если никакое правило не соответствует. Я предлагаю, по крайней мере, скользить через iptables страницу справочника. –  derobert 06.02.2013, 04:55

Осторожно!!

Вы упомянули, что делали порт 21 открытым для ssh. Стандартное использование для порта 21 является ftp; порт 22 является стандартом ssh. В то время как возможный (и иногда желательный) для использования нестандартного ssh порта если Вы забываете (или забывают говорить другим пользователям) Вы закончите с большим количеством головной боли.

Тем не менее набор наиболее часто используемых iptables примеров может быть найден здесь.

http://www.thegeekstuff.com/2011/06/iptables-rules-examples/

Более обобщенная ссылка IPTables:

https://help.ubuntu.com/community/IptablesHowTo

-1
27.01.2020, 22:14
  • 1
    Извините, я имел в виду порт 22 для SSH. Я отредактировал свой ответ. Я знаю о iptables учебном руководстве, и я - знакомое использование одной фильтрации порта Ethernet, но мой вопрос о фильтрации двух портов Ethernet. Вы могли любезно дать мне пример от моего вопроса, спасибо. –  I'll-Be-Back 06.02.2013, 01:34

Теги

Похожие вопросы