Zablokuj cały ruch wchodzący. Użyj do tego polityki, nie reguły
Dodaj regułę umożliwiającą komunikację w obrębie localhosta
Pozwól wchodzić połączeniom już ustanowionym
Po dodaniu reguły do firewalla, możesz sprawdzić:
• listę ustanowionych połączeń: conntrack -L
• monitorować zmiany: conntrack -E
(program conntrack instaluje się w OpenSUSE komendą zypper install conntrack-tools
)
Pozwól wchodzić połączeniom SSH
Zabroń wchodzenia ruchu SSH z wybranego adresu nie kasując żadnej z powyższych reguł
Wyświetl liczniki, sprawdź ile razy reguła z poprzedniego zadania została uruchomiona
Zbadaj (używając wiresharka) czym różni się cel DROP
od REJECT
Sprawdź stan połączenia TCP nawiązywanego do celu który ma ustawiony target DROP
Zablokuj ruch wychodzący do wybranej strony.
Uwaga: iptables pracuje tylko na IPv4. Niektóre strony (np. google, wikipedia, put.poznan.pl) mają też adresy IPv6.
Dodaj reguły, które wpuszczą ograniczoną ilość komunikatów ping (moduł limit
lub hashlimit
)
Możesz dodać regułę wpuszczającą określoną ilość pingów i regułę odrzucającą pingi, albo regułę odrzucającą nadmiar pingów i wpuszczającą pingi
Czas pomiędzy komunikatami ping możesz ustawić przełącznikiem i
: ping -i <czas_w_sekundach> …
, np. ping -i 0.2 …
Uwaga: conntrack śledzi też wiadomości ping
Ogranicz ilość połączeń od każdego adresu IP z osobna (connlimit
)
Dodaj regułę, która zabroni przekazywania ruchu z br0 do p4p1
Dodaj regułę bez akcji, która pozwoli zliczać wysłane komunikaty ping
Dodaj regułę z akcją LOG
, która pozwoli logować wystąpienia wybranych pakietów (użyj dmesg
do wypisania komunikatów z logu systemu)
Korzystając z iptables-save
zapisz reguły do pliku, następnie wyczyść listę reguł i odtwórz ją z pliku używając iptables-restore