Difference between revisions of "Iptables-Regeln"
(Created page with "== Iptables-Regeln == === Iptables installieren === <pre> apt-get update apt-get install iptables </pre> === Iptables anzeigen === <pre> iptables -L -v </pre> === Iptabl...") |
(→Iptables erstellen) |
||
| Line 18: | Line 18: | ||
<pre> | <pre> | ||
iptables -A <chain> -i <interface> -p <protocol (tcp/udp) > -s <source> --dport <port no> -j <target> | iptables -A <chain> -i <interface> -p <protocol (tcp/udp) > -s <source> --dport <port no> -j <target> | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | === Bsp. für ssh und http(s) === | ||
| + | <pre> | ||
| + | iptables -A INPUT -p tcp --dport 22 -j ACCEPT | ||
| + | iptables -A INPUT -p tcp --dport 80 -j ACCEPT | ||
| + | iptables -A INPUT -p tcp --dport 443 -j ACCEPT | ||
| + | iptables -P INPUT DROP | ||
| + | </pre> | ||
| + | |||
| + | |||
| + | === Etablierte Verbindungen zulassen === | ||
| + | <pre> | ||
| + | iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
| + | |||
| + | $WAN muss durch die Bezeichnung der NIC ersetzt werden. | ||
| + | Dabei kann mit der Option --state folgende, meist genutzte Möglichkeiten eingestellt werden: | ||
| + | |||
| + | NEW - Das Datenpaket ist dem Server neu, in der Regel durch eine neue Verbindung. | ||
| + | ESTABLISHED - Das Datenpaket ist beim Server bereits ein- und ausgegangen. | ||
| + | RELATED - Das Datenpaket hat eine neue Verbindung gestartet, ist aber in einer bestehenden Verbindung involviert, | ||
| + | z. B. eine FTP-Datenübertragung oder ein ICMP-Fehler. | ||
| + | |||
| + | </pre> | ||
| + | |||
| + | |||
| + | === Pakete anhand der Source-Adresse filtern === | ||
| + | <pre> | ||
| + | iptables -A INPUT -s 10.10.10.1 -j DROP | ||
| + | |||
| + | hier kann auch mit Ranges gearbeitet werden: | ||
| + | iptables -A INPUT -m iprange --src-range 10.10.10.1-10.10.10.255 -j DROP | ||
| + | |||
</pre> | </pre> | ||
Revision as of 09:50, 17 November 2025
Contents
Iptables-Regeln
Iptables installieren
apt-get update apt-get install iptables
Iptables anzeigen
iptables -L -v
Iptables erstellen
iptables -A <chain> -i <interface> -p <protocol (tcp/udp) > -s <source> --dport <port no> -j <target>
Bsp. für ssh und http(s)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -P INPUT DROP
Etablierte Verbindungen zulassen
iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
$WAN muss durch die Bezeichnung der NIC ersetzt werden.
Dabei kann mit der Option --state folgende, meist genutzte Möglichkeiten eingestellt werden:
NEW - Das Datenpaket ist dem Server neu, in der Regel durch eine neue Verbindung.
ESTABLISHED - Das Datenpaket ist beim Server bereits ein- und ausgegangen.
RELATED - Das Datenpaket hat eine neue Verbindung gestartet, ist aber in einer bestehenden Verbindung involviert,
z. B. eine FTP-Datenübertragung oder ein ICMP-Fehler.
Pakete anhand der Source-Adresse filtern
iptables -A INPUT -s 10.10.10.1 -j DROP hier kann auch mit Ranges gearbeitet werden: iptables -A INPUT -m iprange --src-range 10.10.10.1-10.10.10.255 -j DROP
