मैंने कुछ समय आईपीटैबल्स के बारे में दो चीजों के बारे में सोचने में बिताया: जो लोग इन ट्यूटोरियल की तलाश कर रहे हैं, वे शुरुआती हैं और दूसरे, कई पहले से ही काफी सरल और पहले से ही विस्तृत कुछ की तलाश कर रहे हैं।
यह उदाहरण एक वेब सर्वर के लिए है, लेकिन आप आसानी से अधिक नियम जोड़ सकते हैं और इसे अपनी आवश्यकताओं के अनुकूल बना सकते हैं।
जब आप अपने आईपी के लिए "x" परिवर्तन देखते हैं
#!/bin/bash
# हम iptables तालिकाओं को साफ करते हैं -F iptables -X # हम नैट iptables -t nat -F iptables -t nat -X # को साफ करते हैं PPPoE, PPP और ATM iptables -t mangle -F iptables -t mangle -X जैसी चीजों के लिए टेबल # नीतियां मुझे लगता है कि यह शुरुआती लोगों के लिए सबसे अच्छा तरीका है और # अभी भी बुरा नहीं है, मैं आउटपुट (आउटपुट) सभी को समझाऊंगा क्योंकि वे आउटगोइंग कनेक्शन हैं #, इनपुट हम सब कुछ छोड़ देते हैं, और कोई सर्वर आगे नहीं बढ़ना चाहिए। iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Intranet LAN intranet = eth0 #Extranet wan extranet = eth1 # राज्य रखें। वह सब कुछ जो पहले से जुड़ा हुआ है (स्थापित) इस तरह से बचा हुआ है: iptables -एक INPUT -m राज्य --state ESTABLISHED, संबंधित -j ACCEPT # लूप डिवाइस। iptables-IN INUTUT -i lo -j ACCEPT # http, https, हम इंटरफ़ेस निर्दिष्ट नहीं करते हैं, क्योंकि # हम चाहते हैं कि यह सभी iptables-IN INUTUT -p tcp --dport 80 -j ACCEPT ip- एक INPUT -p tcp हो - dport 443 -j ACCEPT # ssh केवल आंतरिक रूप से और IP की iptables की इस श्रेणी से- INPUT -p tcp -s 192.168.xx / 24 -i $ इंट्रानेट --dport 7659 -j ACCEPT # मॉनिटरिंग उदाहरण के लिए यदि उनके पास zabbix या है। कुछ अन्य स्नैम्प सेवा iptables-IN INUTUT -p tcp -s 192.168.xx / 24 -i $ intranet --dport 10050 -j ACCEPT # icmp, अच्छी तरह से यह आप पर निर्भर है ipt-IN INPUT -p icmp -s 192.168.xx / 24 - i $ इंट्रानेट -j ACCEPT #mysql पोस्टग्रेट्स के साथ पोर्ट 5432 iptables -ए INPUT -p tcp -s 192.168.xx --sport 3306 -i $ intranet -j ACCEPT #sendmail bueeeh है अगर आप कुछ मेल # भेजना चाहते हैं iptables-OUTPUT -p tcp --dport 25 -j ACCEPT # एंटी-स्पूफ़िंग 09/07/2014 # SERVER_IP = "190.xxx" # सर्वर आईपी - आपके w192.168 लैन_RANGE = "21.xx / 0.0.0.0 का असली वान आईपी आपके नेटवर्क या आपके vlan की # # LAN सीमा # है जिसे कभी भी एक्स्ट्रानेट में प्रवेश नहीं करना चाहिए,# तर्क का थोड़ा सा उपयोग करने के लिए अगर हमारे पास विशुद्ध रूप से WAN इंटरफ़ेस है तो उस इंटरफ़ेस SPOOF_IPS = "8/127.0.0.0 8/10.0.0.0 8/172.16.0.0 12/192.168.0.0 16 के माध्यम से # LAN टाइप ट्रैफ़िक कभी दर्ज नहीं करना चाहिए .XNUMX / XNUMX "# डिफ़ॉल्ट कार्रवाई - जब कोई नियम ACTION =" DROP "# पैकेट से मेल खाता हो, तो wan iptables-IN INPUT -i $ extranet -s $ SERVERVER -IP -j $ ACT # iptables-OUTPUT -o $ extranet -s $ SERVER_IP -j $ ACT # पैकेट वान के लिए LAN रेंज के साथ, मैं इसे इस तरह से लगाता हूं कि आपके पास कोई विशेष नेटवर्क है, लेकिन यह निम्नलिखित # नियम के साथ अनुप्रेषित है "iptables" के लिए लूप "-INPUT -i $ extranet -s $ LAN_RANGE -j $ ACT iptables-OUTPUT -o $ extranet -s $ LAN_RANGE -j $ ACT" # SPOOF नेटवर्क IP के लिए वान द्वारा अनुमत नहीं है $ SPOOF_IPS iptables करते हैं-INPUT -i $ extranet -s $ ip -j $ ACT $ iptables-OUTPUT -o $ extranet -s $ ip -j $ ACTION किया
हमेशा की तरह मुझे आपकी टिप्पणियों का इंतजार है, इस ब्लॉग में बने रहें, धन्यवाद
यह मेरी मदद करता है कि मैं थोड़ी और नकल सीखता रहूं।
आपका स्वागत है, मदद की खुशी है
मुझे वास्तव में खेद है, लेकिन मेरे पास दो प्रश्न हैं (और एक उपहार के रूप में I):
क्या आप अपाचे को चलाने और एसएसएच को छोड़कर बाकी को बंद करने के लिए इस कॉन्फ़िगरेशन के साथ पहुंचेंगे?
# हम साफ टेबल
iptables के एफ
iptables के एक्स
हम NAT को साफ करते हैं
आईपीटेबल्स-टी नेट-एफ
आईपीटेबल्स-टी नेट-एक्स
iptables-INPUT -p tcp –dport 80 -j ACCEPT
केवल आंतरिक रूप से और आईपी की इस श्रेणी से ssh
iptables-INPUT -p tcp -s 192.168.xx / 24 -i $ intranet –dport 7659 -j ACCEPT
दूसरा सवाल: क्या 7659 का बंदरगाह इस उदाहरण में SSH में इस्तेमाल किया गया है?
और तीसरा और अंतिम: इस कॉन्फ़िगरेशन को किस फ़ाइल में सहेजा जाना चाहिए?
ट्यूटोरियल के लिए बहुत बहुत धन्यवाद, यह शर्म की बात है कि आप इस तरह के नौसिखिया हैं और अच्छी तरह से इसका लाभ नहीं उठा सकते हैं।
यह वह नियम है जो आपको अपाचे से http के लिए चाहिए
iptables-INPUT -p tcp –dport 80 -j ACCEPT
लेकिन आपको ड्रॉप डिफॉल्ट नीतियों की घोषणा करने की आवश्यकता है (यह स्क्रिप्ट में है)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
आईप्टेबल्स -पी फॉरवर्ड ड्रॉप
और यह इसलिए कि यदि आप दूरस्थ हैं, तो यह आपको दूर फेंक देगा।
iptables-IN INUTUT -m राज्य -स्टेट स्थापित, संबंधित -j ACCEPT
यदि 7659 उदाहरण में ssh का बंदरगाह है, तो डिफ़ॉल्ट रूप से यह 22 है, हालांकि मैं आपको "अच्छी तरह से ज्ञात" एक बंदरगाह में बदलने की सलाह देता हूं।
यार, मुझे नहीं पता, जैसा आप चाहते हैं ... फ़ायरवॉल.श और आप इसे rc.local (sh फ़ायरवॉल.sh) में रखें ताकि यह अपने आप चलता रहे, यह इस बात पर निर्भर करता है कि आपके पास कौन सा ऑपरेटिंग सिस्टम है, जहाँ फाइलें हैं आप सीधे नियमों को रख सकते हैं।
अरे, आपकी स्क्रिप्ट बहुत अच्छी है, इसका विश्लेषण कर रहे हैं ... क्या आप जानते हैं कि मैं अपने उपयोगकर्ताओं से किसी विशिष्ट वेबसाइट के सभी अनुरोधों को कैसे अस्वीकार कर सकता हूं? ... लेकिन इस वेबसाइट में बहुत सारे सर्वर हैं ...
मैं अन्य विकल्पों की सलाह देता हूं:
1) आप अपने डीएनएस में एक नकली क्षेत्र बना सकते हैं ...
2) आप acl के साथ एक प्रॉक्सी रख सकते हैं
पाप करना
Iptables के लिए आप इसे पसंद कर सकते हैं ... यह हमेशा सबसे अच्छा विकल्प नहीं है (अधिक तरीके हैं)
iptables -A INPUT -s ब्लॉग।desdelinux.ne -j ड्रॉप
iptables -A OUTPUT -d ब्लॉग।desdelinux.नेट -जे ड्रॉप
मुझे बताओ अगर यह काम किया
उत्तर के लिए धन्यवाद, सब कुछ साफ हो गया। मैं बंदरगाह के बारे में पूछ रहा था क्योंकि मैं 7659 का उपयोग करने के लिए आश्चर्यचकित था, क्योंकि निजी बंदरगाह 49152 में शुरू होता है, और यह कुछ सेवा या कुछ के साथ हस्तक्षेप कर सकता है।
फिर, सब कुछ के लिए धन्यवाद, यह अच्छा है!
नमस्ते.
BrodyDalle, मैं आपके साथ कैसे संपर्क कर सकता हूं? बहुत दिलचस्प है आपकी स्क्रिप्ट।
Soulofmarionet_1@hotmail.com
इससे पहले कि आखिरी पंक्ति "iptables-OUTPUT -o $ extranet -s $ ip -j $ ACTION" क्या आपकी अपनी मशीन को खराब होने से रोकने के लिए है? या क्या यह संभव है कि कुछ ज़हर का पैकेट घुस जाए और वह उस ज़हरीले स्रोत से निकल जाए और इसीलिए नियम को OUTPUT के साथ भी शामिल किया जाए?
स्पष्टीकरण के लिए बहुत बहुत धन्यवाद !!!
यह मेरी अपनी iptables स्क्रिप्ट है, यह बहुत ही संपूर्ण है:
# फ्रैंस
# doc.iptables.airoso: विरासत के लिए और nft के लिए iptables
#
# फ़ायरवॉल पोर्ट
##############################
#! / Bin / bash
#
# स्क्रीन साफ़ करें
############################# ने /etc/f-iptables/default.cfg की शुरुआत ||||
स्पष्ट
# एक खाली लाइन छोड़ दें
गूंज
निर्यात हां = »» नहीं = »प्रतिध्वनि»
# वे चर जिन्हें आप एक्सेस की अनुमति देने के लिए बदल सकते हैं
##################### चर $ हां या $ न के साथ संशोधित करने के लिए
निर्यात hayexcepciones = »$ no»
# अपवाद हैं: असाधारण मेजबान को अनुमति देने के लिए $ हां और अक्षम करने के लिए $ नहीं
निर्यात हाइपिंग = »$ नहीं»
# हाइपिंग: तीसरे पक्ष के पिंग को अनुमति देने के लिए $ हां और इनकार करने के लिए $ नो
निर्यात हैलोजर = »$ नहीं»
# haylogeosserver: $ हां लॉग इन करने में सक्षम होना tcp
######
###################### "," या "की श्रेणियों के साथ" जोड़कर संशोधित करने के लिए चर:
निर्यात अपवाद = »baldras.wesnoth.org»
# अपवाद एकल या एकाधिक होस्ट को फ़ायरवॉल या बिना किसी मूल्य के अनुमति देते हैं
निर्यात लकड़हारा = त्याग, ipp, तानाशाही, ssh
# tcp सर्वर पोर्ट जो पैकेट में आते ही लॉग हो जाते हैं
निर्यात redserver = 0/0
# redserver: सर्वर पोर्ट के लिए नेटवर्क बेहतर स्थानीय नेटवर्क या कई ips
निर्यात ग्राहक लाल = 0/0
#clientnet: क्लाइंट पोर्ट के लिए नेटवर्क सभी नेटवर्क के लिए बेहतर है
निर्यात servidortcp = त्याग, ipp, तानाशाही, 6771
# servidortcp: निर्दिष्ट tcp सर्वर पोर्ट
निर्यात सर्वरूप = त्याग
#udpserver: निर्दिष्ट udp सर्वर पोर्ट
निर्यात क्लायंटप = डोमेन, बूटपैक, बूट्स, एनटीपी, 20000: 45000
# यूडीपी क्लाइंट: निर्दिष्ट यूडीपी क्लाइंट पोर्ट
निर्यात clienttcp = डोमेन, http, https, ipp, git, dict, 14999: 15002
# tcp क्लाइंट: निर्दिष्ट tcp क्लाइंट पोर्ट
######################################################।
चर संशोधित करने के लिए ##############################
निर्यात फ़ायरवॉल = $ १ चर = $ २
अगर ["$ चर" = "$ NULL"]; तब स्रोत /etc/f-iptables/default.cfg;
अन्य स्रोत / etc / f-iptables / $ 2; फाई
############################### आप एक .cfg फ़ाइल के साथ चर को अधिलेखित कर देंगे।
############################################### ########################################
निर्यात फ़ायरवॉल = $ 1 निर्यात चर = $ २
######################################## स्वचालित प्रणाली चर
अगर ["$ फ़ायरवॉल" = "डिस्कनेक्ट किया गया"]; फिर इकोवेल डिस्कनेक्ट किया गया;
निर्यात कार्यकर्ता = »$ नहीं» सक्रियण = »$ नहीं» गीला = »$ नहीं»;
elif ["$ फ़ायरवॉल" = "क्लाइंट"]; उसके बाद FIREWALL CLIENT;
निर्यात कार्यकर्ता = »$ नहीं» सक्रियण = »» गीला = »$ नहीं»;
elif ["$ फ़ायरवॉल" = "सर्वर"]; फिर इकोवेल सर्वर को इको;
निर्यात कार्यकर्ता = »» सक्रियण = »$ नहीं» गीला = »$ नहीं»;
elif ["$ फ़ायरवॉल" = "क्लाइंट और सर्वर"]; तब इकोवेल क्लियर और सर्वर इको;
निर्यात सक्रिय सर्वर = »»; निर्यात सक्रियण = »»; निर्यात गीला = »$ नहीं»;
elif ["$ फ़ायरवॉल" = "अनुमेय"]; फिर इको पर्मिसिव फेयरवेल;
निर्यात कार्यकर्ता = »$ नहीं» सक्रियण = »$ नहीं» गीला = »»;
अन्य
$ चेक सुडो गूंज iptables-legacy:
$ चेक sudo iptables-legacy -v -L INPUT
$ चेक sudo iptables-legacy -v -L OUTPUT
$ चेक सुडो गूंज iptables-nft:
$ चेक sudo iptables-nft -v -L INPUT
$ चेक sudo iptables-nft -v -L OUTPUT
इको _____parameters____ $ 0 $ 1 $ 2
इको "बिना मापदंडों के कलाकारों की सूची iptables है।"
गूंज "पहला पैरामीटर (iptables सक्षम करें): डिस्कनेक्ट या क्लाइंट या सर्वर या क्लाइंट और सर्वर या अनुमेय।"
इको "दूसरा पैरामीटर: (वैकल्पिक): डिफ़ॉल्ट .cfg फ़ाइल चुनता है /etc/f-iptables/default.cfg"
प्रतिध्वनि "परिवर्तनीय सेटिंग्स:" $ (ls / etc / f-iptables /)
बाहर निकलें 0; फाई
#################
गूंज
गूंज $ 0 काट दिया या ग्राहक या सर्वर या ग्राहक और सर्वर या अनुमेय या चर या ipodables सूची के लिए पैरामीटर का उपयोग किए बिना।
गूंज $ 0 फ़ाइल के अंदर कुछ संपादन योग्य चर होते हैं।
############################### उपरोक्त चर सक्रिय
###############################
गूंज की स्थापना iptables चर
इको सक्रिय चर
गूंज
######################### आईपीएल नियम
गूंज सेटिंग iptables- विरासत
sudo / usr / sbin / iptables-legacy -t filter -F
sudo / usr / sbin / iptables-legacy -t nat -F
sudo / usr / sbin / iptables-legacy -t mangle -F
sudo / usr / sbin / ip6tables-legacy -t filter -F
sudo / usr / sbin / ip6tables-legacy -t nat -F
sudo / usr / sbin / ip6tables-legacy -t mangle -F
sudo / usr / sbin / ip6tables-legacy -एक INPUT -j DROP
sudo / usr / sbin / ip6tables-legacy-OUTPUT -j DROP
sudo / usr / sbin / ip6tables-legacy-FORWARD -j DROP
sudo / usr / sbin / iptables-legacy -एक INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ हैलोजर सेवर सूदो / usr / sbin / iptables-legacy-INPUT -p tcp -m multiport –dports $ logserver -j LOG> / dev / null
$ हेयडिसेप्शन सूदो / usr / sbin / iptables-legacy -एक INPUT -s $ अपवाद -j ACCEPT> / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-legacy-INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-legacy-INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT / / dev / null
$ सक्रियण sudo / usr / sbin / iptables-legacy-INPUT -p udp -m multiport –sports $ clientudp -m state -state स्थापित -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ Activeclient sudo / usr / sbin / iptables-legacy-INPUT -p tcp -m multiport –sports $ clienttcp -m state -state स्थापित -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ हाइपिंग सूदो / usr / sbin / iptables-legacy-INPUT -p icmp –icmp-type इको-रिप्लाई -j ACCEPT> / dev / null
sudo / usr / sbin / iptables-legacy -एक INPUT -j DROP> / dev / null
sudo / usr / sbin / iptables-legacy-OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ हेयडिसेप्शन सुडो / usr / sbin / iptables-legacy-OUTPUT -d $ अपवाद -j ACCEPT> / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-legacy-OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT / / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-legacy-OUTPUT -p tcp -m मल्टीपोर्ट -sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT / / dev / null
$ सक्षम ग्राहक sudo / usr / sbin / iptables-legacy-OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ सक्रियण sudo / usr / sbin / iptables-legacy-OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT / / dev / null
$ हाइपिंग सूदो / usr / sbin / iptables-legacy-OUTPUT -p icmp –icmp- प्रकार इको-अनुरोध -j ACCEPT> / dev / null
sudo / usr / sbin / iptables-legacy-OUTPUT -j DROP
sudo / usr / sbin / iptables-legacy-FOR FORARD -j DROP
इको iptables- विरासत सक्षम किया गया
गूंज
इको सेटिंग iptables-nft
sudo / usr / sbin / iptables-nft -t filter -F
सुडो / usr / sbin / iptables-nft -t nat -F
sudo / usr / sbin / iptables-nft -t mangle -F
sudo / usr / sbin / ip6tables-nft -t filter -F
sudo / usr / sbin / ip6tables-nft -t nat -F
sudo / usr / sbin / ip6tables-nft -t mangle -F
sudo / usr / sbin / ip6tables-nft -A INPUT -j DROP
sudo / usr / sbin / ip6tables-nft-OUTPUT -j DROP
sudo / usr / sbin / ip6tables-nft -एक FORWARD -j DROP
sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ हैलॉगरसेवर सूडो / यूएसआर / एसबीएन / आईपीटैबल्स-एनएफटी-एक इन-पीटी टीसीपी -एम मल्टीपोर्ट -डपोर्ट्स $ लॉजर्वर -ज लॉग> / देव / अशक्त
$ हाइएक्सेप्शन सुडो / usr / sbin / iptables-nft -A INPUT -s $ अपवाद -j ACCEPT> / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-nft -एक INPUT -p udp -m multiport –dports $ serverudp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-nft -एक INPUT -p tcp -m multiport –dports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT / / dev / null
$ activeclient sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –sports $ clientudp -m state -state स्थापित -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ Activeclient sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –sports $ clienttcp -m state -state स्थापित -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ हाइपिंग सूदो / usr / sbin / iptables-nft -एक INPUT -p icmp –icmp- प्रकार इको-रिप्लाई -j ACCEPT> / dev / null
sudo / usr / sbin / iptables-nft -एक INPUT -j DROP> / dev / null
sudo / usr / sbin / iptables-nft -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ अपवादों में sudo / usr / sbin / iptables-nft-OUTPUT -d $ अपवाद -j ACCEPT> / dev / null हैं
$ सक्रिय सर्वर sudo / usr / sbin / iptables-nft-OUTPUT -p udp -m multiport –sports $ serverudp -s $ redserver -d $ redserver -j ACCEPT / / dev / null
$ सक्रिय सर्वर sudo / usr / sbin / iptables-nft-OUTPUT -p tcp -m multiport –sports $ serverrtcp -s $ redserver -d $ redserver -j ACCEPT / / dev / null
$ सक्रियण सूदो / usr / sbin / iptables-nft-OUTPUT -p udp -m मल्टीपोर्ट -dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ Activeclient sudo / usr / sbin / iptables-nft-OUTPUT -p tcp -m multiport –dports $ clienttcp -s $ clientnet -d $ clientnet -j ACCEPT / / dev / null
$ hayping sudo / usr / sbin / iptables-nft-OUTPUT -p icmp –icmp- प्रकार इको-अनुरोध -j ACCEPT> / dev / null
सुडो / usr / sbin / iptables-nft-OUTPUT -j DROP
sudo / usr / sbin / iptables-nft -एक FORWARD -j DROP
इको iptables- एनएफटी सक्षम
गूंज
$ गीले सूडो / usr / sbin / iptables-legacy -F> / dev / null
$ गीला सूदो / usr / sbin / iptables-legacy -एक INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ गीले सूडो / usr / sbin / iptables-legacy -एक INPUT -m राज्य -स्टेट स्थापित -j ACCEPT> / dev / null
$ गीले सूडो / usr / sbin / iptables-legacy -एक INPUT -j DROP> / देव / अशक्त
$ गीले सूडो / usr / sbin / iptables-legacy-OUTPUT -j ACCEPT> / / / सुस्त
$ गीले सूदो / usr / sbin / iptables-legacy-FORWARD -j DROP> / देव / अशक्त
$ गीले सूडो / usr / sbin / iptables-nft -F> / dev / null
$ गीला सूदो / usr / sbin / iptables-nft -एक INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ गीला सूदो / usr / sbin / iptables-nft -एक INPUT -m राज्य -स्टेट स्थापित -j ACCEPT> / dev / null
$ गीले सूडो / usr / sbin / iptables-nft -एक INPUT -j DROP> / देव / अशक्त
$ गीले सूडो / usr / sbin / iptables-nft -एक OUTPUT -j ACCEPT> / / / सुस्त
$ गीला सूदो / usr / sbin / iptables-nft -एक फ़ोरवर्ड -j DROP> / देव / अशक्त
#########################
इको आपने $ 0 $ 1 $ 2 फेंक दिया है
# स्क्रिप्ट से बाहर निकलता है
बाहर निकलें 0
अगर यह फ़ायरवॉल अपने गेटवे के लिए उपयोग करता है और लैन के भीतर एक विद्रूप था तो मैं एक नियम कैसे निर्धारित करूंगा?