4 175
muokkausta
p (wikilinkki loopbackille) |
(syn-osuus raja-anturasta) |
||
Rivi 25: | Rivi 25: | ||
iptables -A INPUT -s 123.456.789.123 -p tcp –destination-port 22 -j DROP | iptables -A INPUT -s 123.456.789.123 -p tcp –destination-port 22 -j DROP | ||
Huomaa uudet valitsimet -p (protokolla) ja -destination-port (kohdeportti). Iptables ymmärtää myös portin numeron sijasta protokollien nimiä, esimerkiksi ssh (portti 22) tai http (80). | Huomaa uudet valitsimet -p (protokolla) ja -destination-port (kohdeportti). Iptables ymmärtää myös portin numeron sijasta protokollien nimiä, esimerkiksi ssh (portti 22) tai http (80). | ||
=== SYN-paketit === | |||
SYN paketit ovat käytännöllisiä pikku kikkoja, kun haluamme kohdeosoitteen keskustelevan meidän kanssamme vasta siinä vaiheessa kun olemme ensin itse ottaneet yhteyden kohdekoneeseen. Eli paketit estetään jos kohdejärjestelmä aloittaa yhteyden, mutta hyväksytään siinä vaiheessa jos yhteyden aloittaja olemme me. Seuraavassa komennossa meidän tulee määritellä laite, joka on kytköksissä verkkoon josta haluamme estää liikenteen. Tämä tapahtuu kytkimellä -i(interface), jonka jälkeen tulee laitteen "nimi" (yleensä laajakaistajärjestelmissä verkkokortti eth0). Seuraavalla komennolla saamme estettyä kaiken liikenteen tietokoneemme TCP-portteihin jos emme itse ensin ota yhteyttä kohdekoneeseen: | |||
iptables -A INPUT -i eth0 -p tcp --syn -j DROP | |||
Näin, entä jos haluamme ajaa esim. http-palvelinta kuten [[Apache]]? Ei huolta, määrittelemme kohdeportiksi kaikki muut portit paitsi TCP/80, jota apache käyttää vakiona. Tämä saadaan aikaan komennolla | |||
iptables -A INPUT -i eth0 -p tcp --syn --destination-port ! 80 -j DROP | |||
== Pikamuuri == | == Pikamuuri == | ||
Rivi 132: | Rivi 140: | ||
${IPTABLES} -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE | ${IPTABLES} -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE | ||
[[Luokka:Järjestelmä]] | [[Luokka:Järjestelmä]] | ||
[[Luokka:Verkko]] | [[Luokka:Verkko]] | ||
[[Luokka: | [[Luokka:Tietoturva]] | ||
[[Luokka:Ylläpitotyökalut]] | [[Luokka:Ylläpitotyökalut]] |