Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- sudo su
- iptables -t filter -L
- iptables -t mangle -L
- iptables -t nat -L
- запретить все входящие пакеты - таблица filter, цепочка INPUT
- протокол icmp
- если не добавлять действие, правило работает как счетчик
- iptables -t filter -A INPUT -p icmp
- iptables -t filter -L INPUT - просмотреть
- iptables -t filter -L INPUT -nv
- а теперь запретим входящие пакеты
- iptables -t filter -R INPUT 1 -p icmp -j REJECT
- REJECT сообщает о том, что хост недоступен
- теперь не будем сообщать, пинг будет ждать таймаут
- iptables -t filter -R INPUT 1 -p icmp -j DROP
- iptables -t filter -F INPUT - чистием
- запретить исходящие пинги:
- iptables -t filter -A OUTPUT -p icmp -j DROP
- теперь нас будут пинговать с другой машины, то ответный пинг не пойдет, и будет таймаут
- как это исправить:
- простой и очевидный способ - использовать систему трассировки соединений
- в OUTPUT можно запретить только новые пинги, сгенерированные нашим хостом. а ответные пинги будут не новые, а established
- iptables -t filter -R OUTPUT 1 -p icmp -m state --state NEW -j DROP
- добавим правило, чтобы посчитать количество established пакетов
- iptables -t filter -A OUTPUT -p icmp -m state --state ESTABLISHED
- watch -nl iptables -t filter -L -nv
- сделать так, чтобы сайт висел еще и на 8080 порту
- iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 80
- хочу, чтобы на порту 8080 открывался не мой сайт, а яндекс
- iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 77.88.21.3:80 //ип яндекса
- это дело работать не будет
- есть разные варианты
- iptables -t nat -A POSTROUTING -p tcp -d 77.88.21.3 --dport 80 -j SNAT --to-source мой_айпишник
- более удобно:
- iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Add Comment
Please, Sign In to add comment