| Ambdós costats versió prèvia Revisió prèvia Següent revisió | Revisió prèvia |
| linux:tcpip:iptables [11/11/2016 03:26] – mate | linux:tcpip:iptables [19/04/2020 10:37] (actual) – [eliminar] admin |
|---|
| |
| == uso | == uso |
| mantener las conexiones ya establecidas:<code bash># iptables -A INPUT -m commtrack --ctstate RELATED,ESTABLISHED -j ACCEPT</code> | mantener las conexiones ya establecidas, incluso conmigo mismo:<code bash># iptables -A INPUT -m commtrack --ctstate RELATED,ESTABLISHED -j ACCEPT</code> |
| | <code bash># iptables -A INPUT -s 127.0.0.1 -j ACCEPT</code> |
| descartar todos los paquetes entrantes:<code bash># iptables -P INPUT DROP</code> | descartar todos los paquetes entrantes:<code bash># iptables -P INPUT DROP</code> |
| permitir ping entrante:<code bash># iptables -A INPUT -p icmp --icmp-type 8 -s <origen> -d <servidor> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT -m comment "aceptación PINGs entrantes"</code> | permitir ping entrante:<code bash># iptables -A INPUT -p icmp --icmp-type 8 -s <origen> -d <servidor> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT -m comment "aceptación PINGs entrantes"</code> |
| |
| === añadir/insertar | === añadir/insertar |
| * añadir regla: ''$ iptables -A {INPUT|OUTPUT} -p tcp --dport <puerto> -j {DROP|ACCEPT}'' | * añadir regla: ''$ iptables -A {INPUT|OUTPUT} -p tcp %%--%%dport <puerto> -j {DROP|ACCEPT}'' |
| * insertar regla: ''$ iptables -I {INPUT|OUTPUT} <linea> -s <IP> -j {DROP|ACCEPT}'' | * insertar regla: ''$ iptables -I {INPUT|OUTPUT} <linea> -s <IP> -j {DROP|ACCEPT}'' |
| * ''$ iptables -I <chain> <nº regla> -> insertar | * ''$ iptables -I <chain> <nº regla> -> insertar'' |
| * ''$ iptables -A <chain> <nº regla> -> insertar | * ''$ iptables -A <chain> <nº regla> -> insertar'' |
| === eliminar | === eliminar |
| * borrar regla: ''$ iptables -D {CHAIN} -s <IP> -j DROP'' | * borrar regla: ''$ iptables -D {CHAIN} <regla#>'' |
| | * borrar regla: ''$ iptables -D {CHAIN} -s <IP> -j DROP'' -> ? |
| |
| === save-restore | === save-restore |
| * ''$ iptables -A OUTPUT -p tcp -d <CIDR> -j DROP'' | * ''$ iptables -A OUTPUT -p tcp -d <CIDR> -j DROP'' |
| * o también con los nombres de dominio: ''$ iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP'' | * o también con los nombres de dominio: ''$ iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP'' |
| * añadir comentarios al LOG: ''$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP SPOOFING A:" | * añadir comentarios al LOG: ''$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP SPOOFING A:"'' |
| * LOG+limites LOG (elimina spoofing cada 5 minutos en ráfagas de 7 entradas): ''$ iptables -> INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP SPOOFING A:" | * LOG+limites LOG (elimina spoofing cada 5 minutos en ráfagas de 7 entradas): ''$ iptables -> INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP SPOOFING A:"'' |
| |
| /via: [[http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/]] | /via: [[http://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/]] |
| |
| == opciones | == opciones |
| <code> | <code bash> |
| $ iptables -A <chain> | $ iptables -A <chain> |
| -p [tcp|upd] | -p [tcp|upd] |