LINUX.ORG.RU

Команда для иптаблес

 ,


0

2

Подскажите команду, которая сделает последовательно:
1. Очистит от всех правил/цепочек, сделает иптаблес девственно чистым
2.Внесет следующие правила: Входящие ВСЕ - дропать, FORWARD - дропать, исходящие ВСЕ - разрешить
3.Перезапустит иптаблес Система дебиан 9.1

Если вам надо одной командой, то делайте конфиг для загрузки iptables-restore. И зачем последний пункт?

vodz ★★★★★ ()

1. Очистит от всех правил/цепочек, сделает иптаблес девственно чистым

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptabkes -t mangle -X
iptables -t raw -F
iptables -t raw -X

2.Внесет следующие правила: Входящие ВСЕ - дропать, FORWARD - дропать, исходящие ВСЕ - разрешить

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

3.Перезапустит иптаблес

iptables не перезапускается, это не сервис.

Deleted ()
Ответ на: комментарий от linuksoid

просто напишите команды для 1-2

Про что читать вам направление дали. Остальное - в job.

vodz ★★★★★ ()
Ответ на: комментарий от Deleted

Исправил опечатку. Получилось:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
Результат команды:
root@debian:/home/user# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

linuksoid ()
Ответ на: комментарий от linuksoid

Теперь запихну все это в скрипт сш, и получится автомат.
Делаю все это для защиты - у моего прова завелись любители посканить порты...

linuksoid ()
Ответ на: комментарий от linuksoid

Теперь запихну все это в скрипт сш, и получится автомат.

А что, у вас работает другой автомат, что мусорит в таблицы iptables?

vodz ★★★★★ ()
Ответ на: комментарий от InterVi

гм, при данных правилах не работает прога WebHTTrack
Сделал так - Нужно ещё не забыть разрешить трафик по петлевому интерфейсу, что бы сервер сам с собой мог общаться по адресу 127.0.0.1,
но нет продырявилась ли защита, не появилась ли возможность подключится извне?

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Результат:

root@debian:/home/user# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0  

linuksoid ()
Ответ на: комментарий от InterVi

В пинвине плаваю хреново, в ип таблес никак, читаю маны урывками - много основной работы... Скажите, как спец -все ок и комп защищен фаером от входящих зловредов?

linuksoid ()
Ответ на: комментарий от linuksoid

Так это ж локалка, ничего страшного. В любом случае, шансы попасть на живого и талантливого хакера ничтожно малы. Порты сканят ботнеты на предмет известных уязвимостей.

InterVi ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.