Y a-t-il un moyen d'ajouter une règle dans iptables pour bloquer le trafic non spécifié/couvert par toutes les autres règles ? Je sais que nous pouvons utiliser ! pour bloquer des ports spécifiques et des adresses IP, mais il y a juste trop de règles dans mon iptables pour traiter individuellement chaque règle.
Merci
Vous créez vos règles avec la méthode accept.
iptables -A INPUT -J ACCEPT
iptables -A INPUT -J ACCEPT
iptables -A INPUT -J ACCEPT
iptables -A INPUT -J ACCEPT
iptables -A INPUT DROPLa dernière chose consiste à rejeter tout ce que vous n'avez pas accepté précédemment. La configuration devient plus compliquée si vous avez plus d'une carte réseau.
Pour simplifier la configuration, vous devriez utiliser des chaînes si ce n'est pas déjà le cas.
iptables -A INPUT -i eth0 -j input_eth0
iptables -A INPUT-i eth1 -j input_eth1
iptables -A INPUT-i eth2 -j input_eth2etc
Ensuite, vous procédez comme je l'ai suggéré.
iptables -A input_eth0 -J ACCEPT
...
iptables -A input_eth0 -J DROP
iptables -A input_eth1 -J ACCEPT
iptables -A input_eth1 -J DROPDe plus, ces règles placées en haut de la liste garantiront que le trafic existant provenant de l'intérieur de votre réseau existe et entre dans votre réseau librement.
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
Les règles spécifiées par davidgo et cybernard sont correctes, et cybernard les positionne correctement. Laissez-moi vous expliquer pourquoi.
Les règles iptables sont appliquées séquentiellement : de haut en bas. Dès qu'une règle est trouvée qui s'applique au paquet en question, l'action spécifiée par cette "première" règle est appliquée, et toutes les règles suivantes sont négligées.
Ainsi, la structure typique d'une liste de règles iptables comprend une "règle par défaut" qui est laissée en dernier. C'est la règle par défaut, c'est-à-dire celle que nous appliquons lorsque toutes les autres règles sont inapplicables, nous devons donc la laisser en dernier. Si la règle par défaut est une règle DROP, alors toutes les règles précédentes seront uniquement des règles ACCEPT. Ensuite, tout paquet auquel aucune règle ACCEPT ne s'applique doit être rejeté, et cela est pris en charge par la règle par défaut. En d'autres termes, si la règle par défaut est DROP, alors vous n'avez besoin que de règles ACCEPT, et si la règle par défaut est ACCEPT, alors vous n'avez besoin que de règles DROP.
Enfin, vous pouvez atteindre le même objectif en utilisant l'instruction
iptables -P INPUT -J DROPqui définit une "politique par défaut" (-P) pour la chaîne INPUT, et cette politique par défaut est DROP. Cela a le même effet que les règles discutées ci-dessus, mais son utilisation est plus restreinte (voir la page de manuel Linux pour iptables ici)
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
