Δημιουργήστε το δικό σας τείχος προστασίας με iptables χρησιμοποιώντας αυτό το απλό σενάριο

Πέρασα λίγο χρόνο για να σκεφτώ δύο πράγματα σχετικά με αυτό το iptables: οι περισσότεροι από αυτούς που αναζητούν αυτά τα σεμινάρια είναι αρχάριοι και δεύτερον, πολλοί ήδη αναζητούν κάτι αρκετά απλό και ήδη επεξεργασμένο.

Αυτό το παράδειγμα αφορά έναν διακομιστή ιστού, αλλά μπορείτε εύκολα να προσθέσετε περισσότερους κανόνες και να τον προσαρμόσετε στις ανάγκες σας.

Όταν δείτε το "x" αλλαγή για τα ip σας


#!/bin/bash

# Καθαρίζουμε πίνακες iptables -F iptables -X # Καθαρίζουμε NAT iptables -t nat -F iptables -t nat -X # mangle table για πράγματα όπως PPPoE, PPP και ATM iptables -t mangle -F iptables -t mangle -X # Policies Νομίζω ότι αυτός είναι ο καλύτερος τρόπος για αρχάριους και # ακόμα δεν είναι κακό, θα εξηγήσω την έξοδο (έξοδος) όλα επειδή είναι εξερχόμενες συνδέσεις #, η είσοδος απορρίπτουμε τα πάντα και κανένας διακομιστής δεν πρέπει να προωθήσει. iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # Διατήρηση κατάστασης. Όλα όσα είναι ήδη συνδεδεμένα (καθιερωμένα) παραμένουν ως εξής: iptables - ΜΙΑ ΕΙΣΟΔΟΣ - κατάσταση --state ESTABLISHED, RELATED -j ACCEPT # Loop device. iptables -A INPUT -i lo -j ACCEPT # http, https, δεν καθορίζουμε τη διεπαφή γιατί # θέλουμε να είναι όλα iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp - dport 443 -j ACCEPT # ssh μόνο εσωτερικά και από αυτό το εύρος iptables του ip -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 7659 -j ACCEPT # παρακολούθηση για παράδειγμα εάν έχουν zabbix ή κάποιο άλλο υπηρεσία snmp iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, ping καλά εξαρτάται από εσάς iptables -A INPUT -p icmp -s 192.168.xx / 24 - i $ intranet -j ACCEPT #mysql with postgres is port 5432 iptables -A INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh αν θέλετε να στείλετε κάποιο email #iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT # Anti-SPOOFING 09/07/2014 # SERVER_IP = "190.xxx" # IP διακομιστή - το πραγματικό wp ip του διακομιστή σας LAN_RANGE = "192.168.xx / 21" # εύρος LAN του δικτύου σας ή των vlan # Ip που δεν πρέπει ποτέ να εισέλθουν στο extranet,είναι να χρησιμοποιήσουμε λίγο # λογική εάν έχουμε μια καθαρά διεπαφή WAN, δεν θα πρέπει ποτέ να εισαγάγει # LAN τύπου traffic μέσω αυτής της διεπαφής SPOOF_IPS = "0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0 / 16 "# Προεπιλεγμένη ενέργεια - να πραγματοποιηθεί όταν οποιοσδήποτε κανόνας ταιριάζει ACTION =" DROP "# Πακέτα με το ίδιο ip του διακομιστή μου μέσω των wan iptables -A INPUT -i $ extranet -s $ SERVER_IP -j $ ACTION # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACTION # Πακέτα με το εύρος LAN για το wan, το έβαλα έτσι σε περίπτωση που έχετε # κάποιο συγκεκριμένο δίκτυο, αλλά αυτό είναι περιττό με τον ακόλουθο # κανόνα εντός του βρόχου " για "iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACTION ## Όλα τα Δίκτυα SPOOF δεν επιτρέπονται από το wan για ip σε $ SPOOF_IPS κάνω iptables -A INPUT -i $ extranet -s $ ip -j $ ACTION iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION done

Όπως πάντα περιμένω τα σχόλιά σας, μείνετε συντονισμένοι σε αυτό το blog, σας ευχαριστώ


12 σχόλια, αφήστε τα δικά σας

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   HO2Gi dijo

    Με βοηθά να συνεχίσω να μαθαίνω λίγο περισσότερα ευχαριστώ.

    1.    brodydalle dijo

      είστε ευπρόσδεκτοι, χαίρομαι που βοηθάτε

  2.   Xavier dijo

    Λυπάμαι πολύ, αλλά έχω δύο ερωτήσεις (και μία ως δώρο 😉):

    Θα φτάνατε με αυτήν τη διαμόρφωση για να εκτελέσετε το Apache και να κλείσετε τα υπόλοιπα εκτός από το SSH;

    # Καθαρίζουμε τραπέζια
    iptables-F
    iptables-X

    Καθαρίζουμε το NAT

    iptables -t nat -F
    iptables -t nat -X

    iptables -A INPUT -p tcp –dport 80 -j ΑΠΟΔΟΧΗ

    ssh μόνο εσωτερικά και από αυτό το εύρος ip

    iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ intranet –dport 7659 -j ΑΠΟΔΟΧΗ

    Δεύτερη ερώτηση: Χρησιμοποιείται η θύρα 7659 σε SSH σε αυτό το παράδειγμα;

    Και τρίτο και τελευταίο: σε ποιο αρχείο πρέπει να αποθηκευτεί αυτή η διαμόρφωση;

    Σας ευχαριστώ πολύ για το σεμινάριο, είναι κρίμα που είστε τόσο αρχάριος και δεν μπορείτε να το εκμεταλλευτείτε καλά.

    1.    brodydalle dijo

      αυτός είναι ο κανόνας που χρειάζεστε για το http από το apache
      iptables -A INPUT -p tcp –dport 80 -j ΑΠΟΔΟΧΗ

      αλλά πρέπει επίσης να δηλώσετε τις προεπιλεγμένες πολιτικές πτώσης (υπάρχει στο σενάριο)
      iptables -P INPUT DROP
      iptables -P ΑΠΟΔΟΧΗ ΕΞΟΔΩΝ
      iptables -P ΜΠΡΟΣΤΑ ΠΤΩΣΗ

      και αυτό γιατί αν είσαι απομακρυσμένος, θα σε πετάξει.
      iptables -ΕΙΣΑΓΩΓΗ -m κατάσταση -κατάσταση ΕΓΚΑΤΑΣΤΑΣΗ, ΣΧΕΤΙΚΟ -J ΑΠΟΔΟΧΗ

      αν το 7659 είναι η θύρα αυτού του ssh στο παράδειγμα, από προεπιλογή είναι 22, αν και σας προτείνω να αλλάξετε σε μια θύρα "μη γνωστή"
      φίλε Δεν ξέρω, όπως θέλετε ... firewall.sh και το βάζετε στο rc.local (sh firewall.sh) έτσι ώστε να λειτουργεί αυτόματα, εξαρτάται από το λειτουργικό σύστημα που έχετε, υπάρχουν αρχεία όπου μπορείτε να βάλετε τους κανόνες απευθείας.

  3.   Τζε dijo

    Γεια σου, το σενάριό σου είναι πολύ καλό, το αναλύεις…. Ξέρετε πώς θα μπορούσα να απορρίψω όλα τα αιτήματα των χρηστών μου σε έναν συγκεκριμένο ιστότοπο;…. αλλά αυτός ο ιστότοπος έχει πολλούς διακομιστές….

    1.    brodydalle dijo

      Προτείνω άλλες επιλογές:
      1) Μπορείτε να δημιουργήσετε μια ψεύτικη ζώνη στο dns σας ...
      2) Μπορείτε να τοποθετήσετε έναν πληρεξούσιο με το acl
      εμπάργκο αμαρτίας
      Για iptables μπορείτε να σας αρέσει αυτό ... δεν είναι πάντα η καλύτερη επιλογή (υπάρχουν περισσότεροι τρόποι)
      iptables -A INPUT -s blog.desdelinux.ne -j DROP
      iptables -A OUTPUT -d blog.desdelinux.net -j DROP

      Πες μου αν λειτούργησε

  4.   Xavier dijo

    Ευχαριστώ για την απάντηση, όλα ξεκαθάρισαν. Ρώτησα για το λιμάνι γιατί με εξέπληξε το 7659, καθώς τα ιδιωτικά λιμάνια ξεκινούν από το 49152 και μπορεί να επηρεάσει κάποια υπηρεσία ή κάτι τέτοιο.
    Και πάλι, ευχαριστώ για όλα, είναι ωραίο!

    Χαιρετισμούς.

  5.   ούτω dijo

    BrodyDalle, πώς μπορώ να επικοινωνήσω μαζί σας; Πολύ ενδιαφέρον το σενάριό σας.

  6.   Κάρλος dijo

    Είναι η προηγούμενη γραμμή "iptables -A OUTPUT -o $ extranet -s $ ip -j $ ACTION" για να αποτρέψει το δικό σας μηχάνημα από πλαστογράφηση; Ή είναι πιθανό ότι κάποιο πακεταρισμένο πακέτο εισέρχεται και μπορεί να φύγει με αυτήν τη δηλητηριασμένη πηγή και γι 'αυτό ο κανόνας περιλαμβάνεται επίσης στο OUTPUT;
    Ευχαριστώ πολύ για τη διευκρίνιση !!!

  7.   Fran dijo

    αυτό είναι το δικό μου σενάριο iptables, είναι πολύ πλήρες:

    # franes.iptables.airy
    # doc.iptables.airoso: iptables για παλαιού τύπου και για nft
    #
    # θύρες τείχους προστασίας
    ############################
    #! / bin / bash
    #
    # καθαρίστε την οθόνη
    ############################## έναρξη του /etc/f-iptables/default.cfg |||||
    καθαρός
    # αφήστε μια κενή γραμμή
    ηχώ
    εξαγωγή ναι = »» όχι = »αντήχηση»
    # τις μεταβλητές που μπορείτε να αλλάξετε για να επιτρέψετε την πρόσβαση
    ###################### μεταβλητές για τροποποίηση με $ ναι ή $ όχι
    εξαγωγή hayexcepciones = »$ όχι»
    # υπάρχουν εξαιρέσεις: $ ναι για να επιτρέψετε εξαιρετικούς κεντρικούς υπολογιστές και $ όχι για απενεργοποίηση
    εξαγωγή χόρτου = »$ όχι»
    # hayping: $ ναι για να επιτρέψετε ping σε τρίτους και $ όχι για να αρνηθείτε
    εξαγωγή haylogserver = »$ όχι»
    # haylogeosserver: $ ναι για να μπορέσετε να συνδεθείτε tcp $ όχι για να μην μπορείτε να συνδεθείτε tcp
    ######
    ###################### μεταβλητές για τροποποίηση προσθέτοντας "," ή με εύρη ":"
    εξαιρέσεις εξαγωγής = »baldras.wesnoth.org»
    # εξαιρέσεις επιτρέπουν μεμονωμένους ή πολλούς κεντρικούς υπολογιστές από τείχος προστασίας ή χωρίς τιμή
    εξαγωγή logserver = απόρριψη, ipp ,ict, ssh
    # θύρες διακομιστή tcp που καταγράφονται όταν μπαίνουν πακέτα
    εξαγωγή redserver = 0/0
    # redserver: το δίκτυο για θύρες διακομιστών προτιμώμενο τοπικό δίκτυο ή πολλά ips
    εξαγωγή πελάτη κόκκινο = 0/0
    #clientnet: το δίκτυο για θύρες πελατών προτιμότερο από όλα τα δίκτυα
    εξαγωγή servidortcp = απόρριψη, ipp, υπαγόρευση, 6771
    # servidortcp: οι καθορισμένες θύρες διακομιστή tcp
    εξαγωγή serverudp = απόρριψη
    #udpserver: οι καθορισμένες θύρες διακομιστή udp
    εξαγωγή clientudp = domain, bootpc, bootps, ntp, 20000: 45000
    #udp client: οι καθορισμένες θύρες πελάτη udp
    εξαγωγή clienttcp = domain, http, https, ipp, git ,ict, 14999: 15002
    # tcp client: οι καθορισμένες θύρες πελάτη tcp
    ############################# τέλος του /etc/f-iptables/default.cfg |||||
    ############################### τέλος μεταβλητών για τροποποίηση
    εξαγωγή τείχους προστασίας = $ 1 μεταβλητές = $ 2
    αν ["$ variables" = "$ NULL"]; τότε πηγαίνετε /etc/f-iptables/default.cfg;
    άλλη πηγή / etc / f-iptables / $ 2; fi
    ############################## ή θα αντικαταστήσει τις μεταβλητές με ένα αρχείο .cfg
    ################################################ ########################################
    εξαγωγή τείχους προστασίας = $ 1 μεταβλητές εξαγωγής = 2 $
    ######################################## αυτόματες μεταβλητές συστήματος
    αν ["$ firewall" = "αποσυνδεδεμένο"]; στη συνέχεια, ηχώ ηχοσύνδεσης αποσυνδεθεί.
    εξαγωγή activateserver = »$ no» activateclient = »$ no» wet = »$ no»;
    elif ["$ firewall" = "client"], στη συνέχεια, ηχ.
    εξαγωγή activateserver = »$ no» activateclient = »» wet = »$ no»;
    elif ["$ firewall" = "διακομιστής"]; στη συνέχεια, echo FIREWALL SERVER.
    εξαγωγή activateserver = »» activateclient = »$ no» wet = »$ no»;
    elif ["$ firewall" = "πελάτης και διακομιστής"]; στη συνέχεια, ηχ. ΠΕΛΑΤΗΣ ΠΕΛΑΤΩΝ ΚΑΙ ΣΕΡΒΕΡ.
    εξαγωγή ενεργοποίηση διακομιστή = »»; εξαγωγή activateclient = »»; εξαγωγή υγρή = »$ όχι»;
    elif ["$ τείχος προστασίας" = "permisive"]; στη συνέχεια, επαναλάβετε το ΕΠΙΤΡΕΠΟΜΕΝΟ Τείχος
    εξαγωγή activateserver = »$ no» activateclient = »$ no» wet = »»;
    αλλιώς
    $ check sudo echo iptables-legacy:
    $ check sudo iptables-legacy -v -L INPUT
    $ check sudo iptables-legacy -v -L OUTPUT
    $ check sudo echo iptables-nft:
    $ check sudo iptables-nft -v -L INPUT
    $ check sudo iptables-nft -v -L OUTPUT
    echo _____παραμέτρους____ $ 0 $ 1 $ 2
    Το echo "cast χωρίς παραμέτρους είναι η λίστα των iptables."
    echo "Η πρώτη παράμετρος (ενεργοποίηση iptables): αποσυνδεδεμένος ή πελάτης ή διακομιστής ή πελάτης και διακομιστής ή ανεκτικός."
    echo "Η δεύτερη παράμετρος: (προαιρετικό): το αρχείο default.cfg επιλέγει /etc/f-iptables/default.cfg"
    echo "Μεταβλητές ρυθμίσεις:" $ (ls / etc / f-iptables /)
    έξοδος 0; fi
    #################
    ηχώ
    echo Πετάει $ 0 αποσυνδεδεμένα ή πελάτη ή διακομιστή ή πελάτη και διακομιστή ή ανεκτά ή μεταβλητές ή χωρίς τη χρήση παραμέτρου για τη λίστα iptables
    echo Το αρχείο $ 0 περιέχει μερικές επεξεργάσιμες μεταβλητές μέσα.
    ############################### ενεργοποιήθηκαν οι παραπάνω μεταβλητές
    ###############################
    echo ρυθμίζοντας τις μεταβλητές iptables
    ενεργοποιημένες ηχώ μεταβλητές
    ηχώ
    ########################### κανόνες iptables
    echo Ρύθμιση iptables-παλαιού τύπου
    sudo / usr / sbin / iptables-legacy -t filter -F
    sudo / usr / sbin / iptables-legacy -t nat -F
    sudo / usr / sbin / iptables-legacy -t mangle -F
    sudo / usr / sbin / ip6tables-legacy -t filter -F
    sudo / usr / sbin / ip6tables-legacy -t nat -F
    sudo / usr / sbin / ip6tables-legacy -t mangle -F
    sudo / usr / sbin / ip6tables-legacy -A INPUT -j DROP
    sudo / usr / sbin / ip6tables-legacy-A OUTPUT -j DROP
    sudo / usr / sbin / ip6tables-legacy-A FORWARD -j DROP
    sudo / usr / sbin / iptables-legacy -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ΑΠΟΔΟΧΗ> / dev / null
    $ haylogserver sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-legacy -A INPUT -s $ εξαιρέσεις -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-legacy -A INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A INPUT -p udp -m multiport -sports $ clientudp -m state -state -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A INPUT -p tcp -m multiport -sports $ clienttcp -m state -state ιδρύθηκε -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-legacy -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-legacy-IN INPUT -j DROP> / dev / null
    sudo / usr / sbin / iptables-legacy-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-legacy -A OUTPUT -d $ εξαιρέσεις -j ACCEPT> / dev / null
    $ activate sudo server / usr / sbin / iptables-legacy -A OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-legacy -A OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-legacy -A OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-legacy -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-legacy-A OUTPUT -j DROP
    sudo / usr / sbin / iptables-legacy-ΜΙΑ ΠΡΟΟΔΟΣ -j DROP
    Το echo iptables-legacy ενεργοποιήθηκε
    ηχώ
    echo Ρύθμιση iptables-nft
    sudo / usr / sbin / iptables-nft -t φίλτρο -F
    sudo / usr / sbin / iptables-nft -t nat -F
    sudo / usr / sbin / iptables-nft -t mangle -F
    sudo / usr / sbin / ip6tables-nft -t filter -F
    sudo / usr / sbin / ip6tables-nft -t nat -F
    sudo / usr / sbin / ip6tables-nft -t mangle -F
    sudo / usr / sbin / ip6tables-nft -A INPUT -j DROP
    sudo / usr / sbin / ip6tables-nft -A OUTPUT -j DROP
    sudo / usr / sbin / ip6tables-nft-A FORWARD -j DROP
    sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ΑΠΟΔΟΧΗ> / dev / null
    $ haylogserver sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
    $ hayeexceptions sudo / usr / sbin / iptables-nft -A INPUT -s $ εξαιρέσεις -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport -sports $ clientudp -m state -state -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multort
    $ hayping sudo / usr / sbin / iptables-nft -A INPUT -p icmp –icmp-type echo-reply -j ΑΠΟΔΟΧΗ> / dev / null
    sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
    sudo / usr / sbin / iptables-nft -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ΑΠΟΔΟΧΗ> / dev / null
    $ υπάρχουν εξαιρέσεις sudo / usr / sbin / iptables-nft -A OUTPUT -d $ εξαιρέσεις -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activate server sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ activateclient sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
    $ hayping sudo / usr / sbin / iptables-nft -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT> / dev / null
    sudo / usr / sbin / iptables-nft-A OUTPUT -j DROP
    sudo / usr / sbin / iptables-nft -A FORWARD -j DROP
    echo iptables-nft ενεργοποιημένο
    ηχώ
    $ wet sudo / usr / sbin / iptables-legacy -F> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A INPUT -m state -state ιδρύθηκε -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A INPUT -j DROP> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A OUTPUT -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-legacy -A FORWARD -j DROP> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -F> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ΑΠΟΔΟΧΗ> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A INPUT -m state -state ιδρύθηκε -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A OUTPUT -j ACCEPT> / dev / null
    $ wet sudo / usr / sbin / iptables-nft -A FORWARD -j DROP> / dev / null
    ###########################
    echo έχετε πετάξει $ 0 $ 1 $ 2
    # βγάζει το σενάριο
    έξοδος 0

  8.   Λούις Ντουράν dijo

    Πώς θα έκανα έναν κανόνα εάν αυτό το τείχος προστασίας το χρησιμοποιούσε για την πύλη μου και είχε ένα καλαμάρι μέσα στο LAN ;;;