GNU/Linux >> Znalost Linux >  >> Linux

CentOS / RHEL :Jak blokovat příchozí a odchozí porty pomocí iptables

Vždy se doporučuje zastavit služby a zablokovat porty, které nejsou vyžadovány. Ponechání nechtěných portů otevřených může způsobit zranitelnost systému. V závislosti na požadavku můžete blokovat příchozí i odchozí provoz na konkrétním portu.

Blokovat příchozí port

Syntaxe pro blokování příchozího portu pomocí iptables je následující. To platí pro všechna rozhraní globálně.

# iptables -A INPUT -p tcp --destination-port [port number] -j DROP

Chcete-li zablokovat port pouze na určitém rozhraní, použijte volbu -i.

# iptables -A INPUT -i [interface name] -p tcp --destination-port [port number] -j DROP

Chcete-li zablokovat port pouze pro danou IP nebo podsíť, použijte volbu -s k zadání podsítě nebo adresy IP.

# iptables -A INPUT -i [interface name] -p tcp --destination-port [port number] -s [ip address] -j DROP
# iptables -A INPUT -i [interface name] -p tcp --destination-port [port number] -s [ip subnet] -j DROP

Například:

Chcete-li zablokovat port 21 (pro blokování FTP), použijte příkaz níže:

# iptables -A INPUT -p tcp --destination-port 21 -j DROP

Uložte iptables, aby pravidla byla trvalá po restartování.

# service iptables save

Chcete-li zablokovat port 21 pro konkrétní IP adresu (např. 10.10.10.10) na rozhraní eth1, použijte příkaz :

# iptables -A INPUT -p tcp -i eth1 -s ! 10.10.10.10 --destination-port 21 -j DROP

Uložte iptables, aby pravidla byla trvalá po restartování.

# service iptables save

Blokovat odchozí port

Syntaxe pro blokování odchozího portu pomocí iptables je následující. To platí pro všechna rozhraní globálně.

# iptables -A OUTPUT -p tcp --destination-port [port number] -j DROP

Chcete-li zablokovat port pouze na určitém rozhraní, použijte volbu -i.

# iptables -A OUTPUT -i [interface name] -p tcp --destination-port [port number] -j DROP

Chcete-li zablokovat port pouze pro danou IP nebo podsíť, použijte volbu -s k zadání podsítě nebo adresy IP.

# iptables -A OUTPUT -i [interface name] -p tcp --destination-port [port number] -s [ip address] -j DROP
# iptables -A OUTPUT -i [interface name] -p tcp --destination-port [port number] -s [ip subnet] -j DROP

Například:

Chcete-li zablokovat odchozí port # 25, použijte níže uvedený příkaz.

# iptables -A OUTPUT -p tcp --destination-port 25 -j DROP

Uložte iptables, aby pravidla byla trvalá po restartování.

# service iptables save

Chcete-li zablokovat port # 25 pouze pro IP adresu 10.10.10.10, použijte příkaz :

# iptables -A OUTPUT -p tcp -d 10.10.10.10 --destination-port 25 -j DROP

Uložte iptables, aby pravidla byla trvalá po restartování.

# service iptables save


Linux

  1. Jak monitorovat síťový přepínač a porty pomocí Nagios

  2. Jak nakonfigurovat postifx smtp relay v CentOS/RHEL 5 a 6

  3. Jak vytvořit rozhraní Bridge pomocí nmcli v CentOS/RHEL 7 a 8

  1. CentOS / RHEL 6:Jak uložit pravidla iptables

  2. CentOS / RHEL 5 :Jak nainstalovat a nakonfigurovat server vsftpd

  3. Jak nainstalovat a nakonfigurovat telnet v RHEL / CentOS 5,6

  1. Jak nainstalovat a nakonfigurovat Kerberos v CentOS/RHEL 7

  2. Jak nainstalovat balíčky pomocí dnf v CentOS/RHEL 8

  3. Jak ladit proces spouštění systemd v CentOS/RHEL 7 a 8