Доброго времени суток !
У меня такой вопрос как в iptables скрыть порты так чтобы их небыло видно из вне, но при этоп сохранить тих видимость из локалки?
Плиз очень надо!!!
Сервак ходит на обрезаной Мандриве 2006
Порты в IPtables
Модераторы: SLEDopit, Модераторы разделов
-
xrootx
- Сообщения: 92
Re: Порты в IPtables
-A INPUT -s ! 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REJECT
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
или если все порты надо скрыть:
-A INPUT -s ! 192.168.0.0/255.255.255.0 -j REJECT
-A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
Оно?
-A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
или если все порты надо скрыть:
-A INPUT -s ! 192.168.0.0/255.255.255.0 -j REJECT
-A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
Оно?
-
Olden Gremlin
- Сообщения: 365
- Статус: RAP22-RIPE
- ОС: Debian GNU/Linux Wheezy
Re: Порты в IPtables
Для начала вспоминаем, что правила отрабатывают последовательно.
Затем вспоминаем, что помимо всяких прочих параметров нас, в данном случае, интересует интерфейс с которого трафик приходит. Допустим, что локалка - это eth0, а "из вне" - это eth1.
Тогда можно получить примерно следующее решение:
Код: Выделить всё
...
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
...
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 25,67,68,3128,6000,6001,6002,6003,6004,6005,6006,6007 -j reject_func
...«Когда у общества нет цветовой дифференциации штанов — то нет цели!»
nic-hdl: RAP22-RIPE