Как закрыть все порты с помощью iptables?

0

0

Как закрыть все порты с помощью iptables? и изнутри и снаружи?
По-молодости думал, что оно все по умолчанию закрыто - а фиг! С удивлением обнаруживаешь, что выше 2000 порты открыты... Ладно, еще хоть обнаруживешь

Ссылка

←	sendmail и большой файл

Копирование файлов и папок

→

Знаешь, все порты выше 1024 используются для коннектов, так что во всех доках черным по белому обычно написано "Очень не рекомендуется закрывать порты >1024", так что успокойся. ну если очень хочется пиши
iptables -p tcp -A FORWARD -s 0/0 -d your_net --destination-port 1025:999999 -j DENY :)
iptables -p tcp -A FORWARD -s your_net -d 0/0 --destination-port 1025:999999 -j DENY :)

:) только перед этим разрешить что нибудь не забудь
А вообще попробуй доки по iptables почитать благо переводы на русском есть.

Matrix ★
(11.06.02 17:27:55 MSD)

Ссылка

С iptables не сталкивался (пользуюсь ipchains), но причем здесь FORWARD ??? По-моему просят закрыть INPUT-цепочку...
Тем более просили закрыть ВСЕ порты, в том числе и udp !
Так что по-моему надо переписать:
iptables -A INPUT -d x.x.x.x -p ip 0:65535 -j DENY
.....
iptables -A INPUT -d y.y.y.y -p ip 0:65535 -j DENY
где x.x.x.x, ..., y.y.y.y - все твои IP-адреса (твоих сетевых карточек)

А вообще лучше бы ты явно написал что именно надо закрыть: все порты на твоей тачиле или сделать так, чтоб к тебе можно, а через тебя - нельзя (типа по пути рубило)...

P.S. Портов с номерами больше 65535 пока не видел :-)))

spirit ★★★★★
(11.06.02 18:07:48 MSD)

Ссылка

Смысл закрывать input?
Проще тогда вообще в инет не входить.

anonymous
(12.06.02 15:29:52 MSD)

Ссылка

Можно вообще их не собирать - прибить нетфильтр...

anonymous
(12.06.02 15:31:34 MSD)

Ссылка

Вот я заварушку устроил :)) Все было гораздо прозаичнее. Я прикрыл все кроме почты и днс, пустил юзверей через, сквид и жил не нарадовался, пока разница траффика через интерфейс и учтенный сквидом не стала отличаться мегабайт на 100... Тогда полез смотреть trafshow
и с удивлением обнаружил gadugabu.pl вроде, которая смело работала на 2000-2400 порту и с протоколом tcp и nfs. Пошел бить морду, а там сидит девчушка такая, в очках :))), и короче это польская аська такая.
Если еще короче, то опять подымается извечный вопрос -- как пропускать только почту, днс, сквид и ничего больше? Доки по iptables штудируются до рези в глазах :))

anonymous
(12.06.02 17:26:15 MSD)

Ссылка

читать не только iptabels читать вообще сети.

Aleks_IZA ★
(13.06.02 03:29:40 MSD)

Ссылка

Все сетевые карты и модемы выкинуть к чертям и все будет хорошо, ни одна сволочь не залезет. И запитаться от дизель-генератора, а то еще по электорпроводам ГБ прослушает.

anonymous
(14.06.02 17:30:54 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	sendmail и большой файл

Admin

Копирование файлов и папок

→

Похожие темы