मी iptables बद्दल दोन गोष्टींबद्दल विचार करण्यात थोडा वेळ घालवला: बहुतेकज जे या ट्यूटोरियल शोधत आहेत ते नवशिक्या आहेत आणि दुसरे म्हणजे, बरेच लोक आधीपासून अगदी सोपे आणि आधीच विस्तृत वर्णन शोधत आहेत.
हे उदाहरण वेब सर्व्हरसाठी आहे, परंतु आपण अधिक नियम सहजपणे जोडू शकता आणि आपल्या आवश्यकतानुसार अनुकूल करू शकता.
जेव्हा आपण आपल्या आयपी साठी "x" बदल पहाल
#!/bin/bash
# आम्ही आयपीटेबल्स टेबल -F iptables -X # आम्ही NAT iptables -t nat -F iptables -t nat -X # PPPoE, पीपीपी आणि एटीएम iptables-t मंगळ -F iptables-t मंगळ-X # धोरणांसाठी साफ करतो मला वाटते की नवशिक्यांसाठी हा सर्वात चांगला मार्ग आहे आणि # अद्यापही वाईट नाही, मी सर्व आउटपुट स्पष्ट करतो कारण ते आउटगोइंग कनेक्शन आहेत #, इनपुट आम्ही सर्वकाही टाकतो आणि कोणताही सर्व्हर अग्रेषित करू नये. iptables -P इनपुट ड्रॉप iptables -P आउटपुट एक्सेप्ट iptables -P फॉरवर्ड ड्रॉप #Intranet लॅन इंट्रानेट = eth0 #Extranet वॅन एक्सट्रॅनेट = eth1 # स्थिती ठेवा. आधीपासून कनेक्ट केलेली (स्थापित केलेली) प्रत्येक गोष्ट यासारखी बाकी आहे: iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT # लूप डिव्हाइस. iptables -A INPUT -i lo -j ACCEPT # HTTP, https, आम्ही इंटरफेस निर्दिष्ट करीत नाही कारण # ते सर्व iptables साठी असावे अशी आपली इच्छा आहे -ए इनपुट -p टीसीपी --dport 80 -j एसीसीपीटी iptables -A इनपुट -p टीसीपी - dport 443 -j ACCEPT # ssh केवळ अंतर्गत आणि आयपी च्या iptables या श्रेणीतून -A INPUT -p tcp -s 192.168.xx / 24 -i $ इंट्रानेट --dport 7659 -j एसीसीपीटी # मॉनिटरिंग उदाहरणार्थ त्यांच्याकडे झॅबिक्स किंवा अन्य काही असल्यास स्नॅप सर्व्हिस आयपटेबल्स -ए इनपुट-पी टीसीपी-एस 192.168.xx / 24 -i $ इंट्रानेट --dport 10050 -j एसीसीपीटी # आयसीएमपी, पिंग हे आपल्यावर अवलंबून आहे -ए इनपुट-पी आयसीएमपी -एस 192.168.xx / 24 - i $ इंट्रानेट -j एसीसीपीटी #mysql सह पोस्टग्रेस आहे 5432 192.168t iptables -A INPUT -p tcp -s 3306.xx --sport 25 -i $ इंट्रानेट -j ACCEPT #sendmail bueeeh जर आपल्याला काही मेल पाठवायचे असेल तर -ए आउटपुट -p टीसीपी --डिपोर्ट 09 -j एसीसीपीटी # अँटी-स्पूफिंग 07/2014/190 # सर्व्हर आयआयपी = "192.168.xxx" # सर्व्हर आयपी - आपल्या सर्व्हरची वास्तविक वान आयपी __RANGE = "21.xx / 0.0.0.0" # लॅन श्रेणी आपल्या नेटवर्कचे किंवा व्हॅलन # आयपीचे जे कधीही एक्स्ट्रानेटमध्ये प्रवेश करू नये,जर आपल्याकडे पूर्णपणे डब्ल्यूएएन इंटरफेस असेल तर तो # लॉजिकचा थोडासा वापर करणार आहे त्याने त्या इंटरफेसद्वारे # लॅन प्रकार रहदारी कधीही प्रविष्ट करू नये SPOOF_IP = "8/127.0.0.0 8/10.0.0.0 8/172.16.0.0 12/192.168.0.0 16 / XNUMX "# डीफॉल्ट क्रिया - जेव्हा कोणताही नियम जुळत असेल तेव्हा करावयाची कारवाई Aक्शन =" ड्रॉप "# सर्व्हरच्या समान आयपी असलेल्या पॅकेट्स वॅन iptables -A INPUT -i $ एक्स्ट्रानेट-एस $ SERVER_IP -j $ क्रिया # iptables -A OUTPUT -o $ extranet -s $ SERVER_IP -j $ क्रिया # वॅनसाठी लॅन रेंजसह असलेली पॅकेट्स, जर आपल्याकडे काही विशिष्ट नेटवर्क असेल तर मी हे असे ठेवले आहे, परंतु लूपच्या खाली असलेल्या # नियमांमुळे हे निरर्थक आहे " "iptables -A INPUT -i $ extranet -s $ LAN_RANGE -j $ कृती iptables -A OUTPUT -o $ एक्सट्रॅनेट -s $ LAN_RANGE -j $ क्रिया ## सर्व SPOOF नेटवर्क IPS SPOOF_IP मध्ये व्हीपीद्वारे परवानगी नाही आयपटेबल्स करा -ए इनपुट -i $ एक्सट्रॅनेट-एस $ आयपी -j $ क्शन iptables -A OUTPUT -o $ एक्सट्रॅनेट -s ip j -j $ क्रिया
मी नेहमीच आपल्या टिप्पण्यांची प्रतीक्षा करीत आहे, धन्यवाद या ब्लॉगवर रहा
कॉपी केल्याबद्दल धन्यवाद आणखी शिकणे मला मदत करते.
आपले स्वागत आहे, मदत केल्याचा आनंद झाला
मला खरोखर दिलगीर आहे, परंतु मला दोन प्रश्न आहेत (आणि एक भेट म्हणून):
आपण या कॉन्फिगरेशनसह अपाचे चालत आहात आणि एसएसएच वगळता उर्वरित बंद करू शकाल का?
# आम्ही टेबल्स स्वच्छ करतो
iptables -F
iptables -X
आम्ही नेट साफ करतो
iptables -t nat -F
iptables -t nat -X
आयपटेबल्स -ए इनपुट-पी टीसीपी -डोर्ट 80 -j एसीसीपीटी
केवळ आंतरिक आणि आयपी च्या या श्रेणीतून ssh करा
iptables -A INPUT -p tcp -s 192.168.xx / 24 -i $ इंट्रानेट -dport 7659 -j एसीसीपीटी
दुसरा प्रश्नः या उदाहरणात एसएसएच मध्ये 7659 बंदर वापरला आहे?
आणि तिसरे आणि शेवटचे: कोणत्या फाइलमध्ये हे कॉन्फिगरेशन सेव्ह करावे?
ट्यूटोरियल बद्दल आपले खूप आभारी आहे, ही एक लाजिरवाणी गोष्ट आहे की आपण इतके नवीन आहात आणि त्याचा चांगला फायदा घेऊ शकत नाही.
अपाचे वरून आपणास http साठी हा नियम आवश्यक आहे
आयपटेबल्स -ए इनपुट-पी टीसीपी -डोर्ट 80 -j एसीसीपीटी
परंतु आपल्याला डीफॉल्ट ड्रॉप धोरणे देखील घोषित करण्याची आवश्यकता आहे (ते स्क्रिप्टमध्ये आहे)
iptables -P इनपुट ड्रॉप
iptables -पी आउटपुट स्वीकार
iptables -P फॉरवर्ड ड्रॉप
आणि कारण आपण दूरस्थ असाल तर ते तुम्हाला दूर फेकून देईल.
आयपटेबल्स -ए इनपुट-एम स्टेट-स्टेट एस्टेब्लिशेड, रिलेटेड -जे एसीपीटी
7659 उदाहरणार्थ त्या ssh चे बंदर असल्यास, डीफॉल्टनुसार ते 22 आहे, जरी मी तुम्हाला "सुप्रसिद्ध नाही" या पोर्टमध्ये बदलण्याची शिफारस करतो
मनुष्य, मला माहित नाही, जसे आपल्याला पाहिजे आहे ... फायरवॉल.श आणि आपण त्यास आरसी.लोकल (श फायरवॉल.श) मध्ये ठेवा जेणेकरून ते आपोआप चालू होईल, आपल्याकडे कोणत्या ऑपरेटिंग सिस्टमवर अवलंबून आहे, अशा फाईल्स आहेत जिथे आपण थेट नियम ठेवू शकता.
अहो, तुमची स्क्रिप्ट खूप चांगली आहे, त्याचे विश्लेषण करीत आहे…. एखाद्या विशिष्ट वेबसाइटवर मी माझ्या वापरकर्त्यांकडून केलेल्या सर्व विनंत्या मी कशा नाकारू शकू हे आपल्याला माहित आहे?…. पण या वेबसाइटला बरीच सर्व्हर आहेत….
मी इतर पर्यायांची शिफारस करतो:
1) आपण आपल्या डीएनएस मध्ये बनावट झोन तयार करू शकता ...
२) आपण एसीएलसह प्रॉक्सी ठेवू शकता
पाप बंदी
इप्टेबल्ससाठी आपणास हे आवडेल ... नेहमीच हा एक उत्तम पर्याय नसतो (बरेच मार्ग आहेत)
iptables -एक INPUT -s ब्लॉग.desdelinux.ne -j ड्रॉप
iptables -एक आउटपुट -d ब्लॉग.desdelinux.net -j DROP
जर ते चालले तर सांगा
उत्तराबद्दल धन्यवाद, सर्व काही साफ झाले. मी बंदरबद्दल विचारत होतो कारण खाजगी बंदरे 7659 पासून सुरू केल्यामुळे आणि 49152 वापरल्याने मला आश्चर्य वाटले आणि यामुळे काही सेवेमध्ये किंवा कशासही अडथळा येऊ शकेल.
पुन्हा, सर्वकाही धन्यवाद, छान आहे!
ग्रीटिंग्ज
ब्रॉडीडेल, मी आपल्याशी कसा संपर्क साधू? आपली स्क्रिप्ट खूपच मनोरंजक आहे.
souofmarionet_1@hotmail.com
आपल्या स्वत: च्या मशीनला स्पूफिंगपासून रोखण्यासाठी शेवटची ओळ "iptables -A OUTPUT -o $ extranet -s ip -j $ ACTION" आहे का? किंवा हे शक्य आहे की काही विषारी पॅकेट आत शिरले असेल आणि ते त्या विषाक्त स्त्रोतासह सोडू शकेल आणि म्हणूनच नियम देखील OUTPUT सह समाविष्ट केला गेला आहे?
स्पष्टीकरणासाठी तुमचे मनापासून आभार !!!
ही माझी स्वतःची iptables स्क्रिप्ट आहे, ती अगदी पूर्ण आहे:
# franes.iptables.airy
# doc.iptables.airoso: वारसा आणि एनएफटीसाठी iptables
#
# फायरवॉल पोर्ट
##################################################################
#! / बिन / बॅश
#
# स्क्रीन साफ करा
###############################################################################tt
स्पष्ट
# एक ओळ रिक्त ठेवा
प्रतिध्वनी
निर्यात होय = »» नाही = »प्रतिध्वनी»
प्रवेशास अनुमती देण्यासाठी आपण बदलू शकता # चल
####################### $ होय किंवा $ नाही सह बदलण्यासाठी चल
निर्यात hayexcepciones = »$ नाही»
# अपवाद आहेत: exception होय अपवादात्मक होस्टला अनुमती देणे आणि to अक्षम करण्यास अनुमती नाही
निर्यात हाइपिंग = »$ नाही»
# हाइपिंग: third तृतीय पक्षाला पिंग्जला अनुमती देण्यासाठी आणि deny नाकारू नका
निर्यात haylogserver = »$ नाही»
# हेलोजोजर्व्हर: t होय टीसीपी लॉग करण्यास सक्षम असणे t टीसीपी लॉग करण्यास सक्षम नसणे
#######
####################### "," किंवा ":" च्या श्रेणींसह सुधारित करा
निर्यात अपवाद = d baldras.wesnoth.org
# अपवाद एकल किंवा एकाधिक होस्टला फायरवॉल किंवा कोणत्याही मूल्यांकनास अनुमती देतात
निर्यात लॉगसर्व्हर = टाकून द्या, आयपीपी, डिक, एस.एस.एस.
पॅकेट्स येतात तेव्हा लॉग केलेले # टीसीपी सर्व्हर पोर्ट
एक्सपोर्ट रीडसर्व्हर = 0/0
# रेडसर्व्हर: सर्व्हर पोर्टसाठी नेटवर्क श्रेयस्कर स्थानिक नेटवर्क किंवा अनेक आयपीएस
निर्यात ग्राहक लाल = 0/0
# क्लायंटनेट: क्लायंट पोर्टसाठी नेटवर्क सर्व नेटवर्कपेक्षा श्रेयस्कर आहे
servidortcp निर्यात करा = टाकून द्या, आयपीपी, डिक, 6771
# servidortcp: निर्दिष्ट tcp सर्व्हर पोर्ट
सर्व्हरयूडीपी निर्यात करा = टाकून द्या
#udpserver: निर्दिष्ट udp सर्व्हर पोर्ट
क्लायंटपीपी = डोमेन, बूटपीसी, बूटप्स, एनटीपी, 20000: 45000 निर्यात करा
#udp क्लायंट: निर्दिष्ट udp क्लायंट पोर्ट
एक्सपोर्ट क्लायंटसीपी = डोमेन, http, https, ipp, git, डिक्ट, 14999: 15002
# टीसीपी क्लायंट: निर्दिष्ट टीसीपी क्लायंट पोर्ट
##########################################################################################!
#################################### सुधारित करण्यासाठी व्हेरिएबल्सचा शेवट
फायरवॉल = $ 1 चल = $ 2 निर्यात करा
जर ["$ चल" = "$ NULL"]; त्यानंतर स्त्रोत /etc/f-iptables/default.cfg;
अन्य स्रोत / इत्यादी / एफ-इप्टेबल्स / $ 2; फाय
################################## किंवा आपण .cfg फाईलसह व्हेरिएबल्स अधिलिखित कराल
######################################################################################################### ###############################################################################################################
निर्यात फायरवॉल = $ 1 निर्यात व्हेरिएबल्स = $ 2
############################################# स्वयंचलित सिस्टम व्हेरिएबल्स
जर ["$ फायरवॉल" = "डिस्कनेक्ट"]; त्यानंतर अग्निबाधित डिस्कनेक्ट केलेला गूंज;
निर्यात सक्रियकर्ता = »$ नाही» एक्टिवेटक्लियंट = »$ नाही» ओले = »$ नाही»;
एलिफ ["$ फायरवॉल" = "क्लायंट"]; त्यानंतर फायरवॉल क्लायंट प्रतिध्वनी करा;
निर्यात सक्रियकर्ता = »$ नाही» एक्टिवेटक्लीएंट = »» ओले = »$ नाही»;
एलिफ ["$ फायरवॉल" = "सर्व्हर"]; त्यानंतर अग्नि सेवा सर्व्हर एको करा;
निर्यात सक्रियकर्ता = »» एक्टिवेटक्लीएंट = li $ नाही »ओले =» $ नाही »;
एलिफ ["$ फायरवॉल" = "ग्राहक आणि सर्व्हर"]; त्यानंतर अग्निशमन क्लायंट आणि सर्व्हरचा प्रतित करा;
निर्यात सक्रिय सर्व्हर = »»; activक्टिवेटिक्लीएंट = »»; एक्सपोर्ट ओले = »$ नाही»;
एलिफ ["$ फायरवॉल" = "परवानगी" "; तर परम फायरवॉल प्रतिध्वनी;
निर्यात सक्रियकर्ता = »$ नाही» एक्टिवेटक्लीएंट = »$ नाही» ओले = »»;
आणखी
su sudo इको iptables- वारसा तपासा:
su sudo iptables-विरासी -v -L इनपुट तपासा
su sudo iptables-विरासी -v -L OUTPUT तपासा
su sudo इको iptables-nft तपासा:
su sudo iptables-nft -v -L इनपुट तपासा
su sudo iptables-nft -v -L OUTPUT तपासा
प्रतिध्वनी _____paraters ____ $ 0 $ 1 $ 2
एको "पॅरामीटर्सशिवाय कास्ट करणे इप्टेबल्सची सूची बनविणे आहे."
एको "पहिला पॅरामीटर (iptables सक्षम करा): डिस्कनेक्ट केलेला किंवा क्लायंट किंवा सर्व्हर किंवा क्लायंट आणि सर्व्हर किंवा परवानगीदार."
एको "दुसरा पॅरामीटर: (पर्यायी): डीफॉल्ट .cfg फाईल निवडते /etc/f-iptables/default.cfg"
एको "व्हेरिएबल सेटिंग्ज:" $ (एलएस / इत्यादी / एफ-इप्टेबल्स /)
बाहेर पडा 0 फाय
######################
प्रतिध्वनी
प्रतिध्वनी list 0 डिस्कनेक्ट केलेले किंवा क्लाएंट किंवा सर्व्हर किंवा क्लायंट आणि सर्व्हर किंवा परवानगीयोग्य किंवा चल किंवा iptables सूचीबद्ध करण्यासाठी पॅरामीटर वापरल्याशिवाय थ्रो करते.
एको $ 0 फाईलमधे काही संपादनयोग्य व्हेरिएबल्स असतात.
################################### उपरोक्त चल सक्रिय झाले
##########################################################################################
इप्टेबल्स व्हेरिएबल्सची एको सेट करणे
एको एक्टिवेटेड व्हेरिएबल्स
प्रतिध्वनी
############################## iptables नियम
इको सेटिंग इप्टेबल्स-लेगसी
sudo / usr / sbin / iptables-विरासी -t फिल्टर -F
sudo / usr / sbin / iptables-विरासी -t nat -F
sudo / usr / sbin / iptables-विरासी -t मंगळ -F
sudo / usr / sbin / ip6tables-विरासी -t फिल्टर -F
sudo / usr / sbin / ip6tables-विरासी -t nat -F
sudo / usr / sbin / ip6tables-विरासी -t मंगळ -F
sudo / usr / sbin / ip6tables-विरासी -ए इनपुट -j ड्रॉप
sudo / usr / sbin / ip6tables-विरासी -ए आउटपुट -j ड्रॉप
sudo / usr / sbin / ip6tables-विरासी -ए फॉरवर्ड -j ड्रॉप
sudo / usr / sbin / iptables-विरासी -ए इनपुट -s 127.0.0.1 -डी 127.0.0.1 -j ACCEPT> / dev / null
y हेलॉगसर्व्हर सूडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी
do अपवाद आहेत सुदो / यूएसआर / एसबीन / इप्टेबल्स-लीगेसी -ए इनपुट-एस $ अपवाद -j एसीईपीटी> / डेव्हल / शून्य
server सर्व्हर sudo / usr / sbin / iptables-विरासी -ए इनपुट -p udp -m मल्टीपोर्ट –डर्पोर्ट्स $ सर्व्हरयूडीपी -s $ redserver -d $ redserver -j एसीईपीटी> / dev / null सक्रिय करा
server सर्व्हर sudo / usr / sbin / iptables-میراती सक्रिय करा - एक इनपुट -p टीसीपी -एम मल्टीपोर्ट portsdport $ सर्व्हरtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null
$ एक्टिवेटक्लियंट सूडो / यूएसआर / एसबीन / इप्टेबल्स-लीगेसी -ए इनपुट-पी यूडीपी -एम मल्टीपोर्ट स्पोर्ट्स $ क्लायंटडपी-एम स्टेट -स्टेट प्रस्थापित -s $ क्लायंट-डी net क्लायनेट -j एसीसीपीटी> / देव / नल
$ एक्टिवेटक्लियंट सूडो / यूएसआर / एसबीन / इप्टेबल्स-लीगेसी -ए इनपुट -पी टीसीपी -एम मल्टीपोर्ट स्पोर्ट्स-क्लायंटसीपी-एम स्टेट -स्टेट प्रस्थापित -s $ क्लायंट-डी $ क्लायनेट -j एसीसीपीटी> / डेव्हल / नल
$ हेपिंग sudo / usr / sbin / iptables-विरासी -ए इनपुट -p आयसीएमपी –इसीपी-प्रकार प्रतिध्वनी-उत्तर -j ACCEPT> / dev / null
sudo / usr / sbin / iptables-विरासी -ए इनपुट -j ड्रॉप> / डेव्हल / शून्य
sudo / usr / sbin / iptables-विरासी -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ हायडेक्ससेक्सस सुडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी
su sudo सर्व्हर / यूएसआर / एसबीन / इप्टेबल्स-लेगसी सक्रिय करा -एआउटपुट -पी यूडीपी -एम मल्टीपोर्ट स्पोर्ट्स $ सर्व्हरयूडीपी-एस $ रीडसर्व्हर-डी $ रेडर्व्हर -j एसीईपीटी> / डेव्हल / नल
server सर्व्हर sudo / usr / sbin / iptables-میراती सक्रिय करा -ए OUTPUT -p tcp -m मल्टीपोर्ट स्पोर्ट्स $ सर्व्हरtcp -s $ redserver -d ser redserver -j ACCEPT> / dev / null
$ एक्टिवेटक्लियंट sudo / usr / sbin / iptables-विरासी -ए OUTPUT -p udp -m मल्टीपोर्ट –डोर्ट्स $ क्लायंटडपी-एस $ क्लायनेट -d $ क्लायनेट -j ACCEPT> / dev / null
$ एक्टिवेटक्लियंट sudo / usr / sbin / iptables-विरासी -A OUTPUT -p tcp -m मल्टीपोर्ट -डोर्ट्स $ क्लायंटसीपी-एस $ क्लायनेट-डी $ क्लायनेट -j ACCEPT> / dev / null
su हेपोइंग sudo / usr / sbin / iptables-विरासी -A OUTPUT -p आयसीएमपी -सीपी-प्रकार प्रतिध्वनी-विनंती -j एसीईपीटी> / देव / नल
sudo / usr / sbin / iptables-विरासी -ए OUTPUT -j ड्रॉप
sudo / usr / sbin / iptables-विरासी -ए फॉरवर्ड -j ड्रॉप
एको इप्टेबल्स-लीगेसी सक्षम
प्रतिध्वनी
इको सेटिंग इप्टेबल्स-एनएफटी
sudo / usr / sbin / iptables-nft -t फिल्टर -F
sudo / usr / sbin / iptables-nft -t nat -F
sudo / usr / sbin / iptables-nft -t मंगळ -F
sudo / usr / sbin / ip6tables-nft -t फिल्टर -F
sudo / usr / sbin / ip6tables-nft -t nat -F
sudo / usr / sbin / ip6tables-nft -t मंगळ -F
sudo / usr / sbin / ip6tables-nft -A इनपुट -j ड्रॉप
sudo / usr / sbin / ip6tables-nft -A OUTPUT -j DROP
sudo / usr / sbin / ip6tables-nft -A फॉरवर्ड -j ड्रॉप
sudo / usr / sbin / iptables-nft -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
y haylogserver sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport -dports $ logserver -j LOG> / dev / null
$ अपयश sudo / usr / sbin / iptables-nft -A INPUT -s ceptions अपवाद -j ACCEPT> / dev / null
server सर्व्हर sudo / usr / sbin / iptables-nft -A इनपुट -p udp -m मल्टीपोर्ट –डर्पोर्ट्स ud सर्व्हरयूडीपी -s $ redserver -d $ redserver -j ACCEPT> / dev / null सक्रिय करा
server सर्व्हर sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m मल्टीपोर्ट –dport $ सर्व्हरtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null सक्रिय करा
$ एक्टिवेटक्लियंट sudo / usr / sbin / iptables-nft -A INPUT -p udp -m multiport –sports $ clientudp -m state –state -s-clientnet -d $ clientnet -j ACCEPT> / dev / null
$ एक्टिवेटक्लियंट sudo / usr / sbin / iptables-nft -A INPUT -p tcp -m multiport –sports $ clienttcp -m state –state -s-clientnet -d $ clientnet -j ACCEPT> / dev / null
su हेपिंग sudo / usr / sbin / iptables-nft -A INPUT -p आयसीएमपी mpइसीपी-प्रकार प्रतिध्वनी-उत्तर -j ACCEPT> / dev / null
sudo / usr / sbin / iptables-nft -A INPUT -j DROP> / dev / null
sudo / usr / sbin / iptables-nft -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT> / dev / null
$ अपयश सुदो / यूएसआर / एसबीन / iptables-nft -A OUTPUT -d ceptions अपवाद -j ACCEPT> / dev / null
su sudo सर्व्हर / usr / sbin / iptables-nft -A OUTPUT -p udp -m मल्टीपोर्ट स्पोर्ट्स $ सर्व्हरयूडीपी -s $ redserver -d $ redserver -j ACCEPT> / dev / null सक्रिय करा
server सर्व्हर sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport –sports $ सर्व्हरtcp -s $ redserver -d $ redserver -j ACCEPT> / dev / null सक्रिय करा
$ एक्टिवेटक्लियंट sudo / usr / sbin / iptables-nft -A OUTPUT -p udp -m multiport –dports $ clientudp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
$ एक्टिवेटक्लियंट sudo / usr / sbin / iptables-nft -A OUTPUT -p tcp -m multiport -dports ports clienttcp -s $ clientnet -d $ clientnet -j ACCEPT> / dev / null
su हेपिंग sudo / usr / sbin / iptables-nft -A OUTPUT -p आयसीएमपी –इसीपी-प्रकार इको-विनंती -j एसीईपीटी> / डेव्हल / नल
sudo / usr / sbin / iptables-nft -A OUTPUT -j DROP
sudo / usr / sbin / iptables-nft -A फॉरवर्ड -j ड्रॉप
इको iptables-nft सक्षम केले
प्रतिध्वनी
$ ओले सुडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी -एफ> / देव / नल
$ ओले सुडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी -ए इनपुट -s 127.0.0.1 -डी 127.0.0.1 -j एसीपीटी> / देव / नल
$ ओले sudo / usr / sbin / iptables-विरासी -ए इनपुट -m राज्य-स्थापित राज्य -j एसीसीपीटी> / देव / नल
$ ओले सुडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी -ए इनपुट -j ड्रॉप> / डेव्हल / शून्य
$ ओले सुडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी -ए आऊटपुट -j एसीसीपीटी> / देव / नल
$ ओले सुडो / यूएसआर / एसबीन / इप्टेबल्स-लेगसी -ए फॉरवर्ड -j ड्रॉप> / डेव्हल / शून्य
$ ओले sudo / usr / sbin / iptables-nft -F> / dev / null
$ ओले सुडो / यूएसआर / एसबीन / iptables-nft -A इनपुट -s 127.0.0.1 -डी 127.0.0.1 -j एसीपीटी> / देव / नल
$ ओले sudo / usr / sbin / iptables-nft -A INPUT -m state -state-প্রতিষ্ঠे -j ACCEPT> / dev / null
$ ओले सुडो / यूएसआर / एसबीन / iptables-nft -A इनपुट -j ड्रॉप> / डेव्हल / शून्य
$ ओले sudo / usr / sbin / iptables-nft -A OUTPUT -j ACCEPT> / dev / null
$ ओले सुडो / यूएसआर / एसबीन / iptables-nft -A फॉरवर्ड -j ड्रॉप> / डेव्हल / शून्य
##################################################################
एको आपण you 0 $ 1 $ 2 टाकला आहे
# स्क्रिप्टमधून बाहेर पडते
बाहेर पडा 0
जर हा फायरवॉल माझ्या गेटवेसाठी वापरला असेल आणि लॅनमध्ये स्क्विड असेल तर मी नियम कसा सेट करू शकेन ???