:: Criar novo CHAIN
# iptables -t filter -N PING-CHAIN
:: Excluir CHAIN
# iptables -t filter -X PING-CHAIN
:: Utilizar CHAIN criado
# iptables -t filter -p icmp -j PING-CHAIN
:: Alterar Politica do CHAIN
# iptables -t filter -P INPUT DROP
:: Logs para entradas local
# iptables -t filter -A INPUT -j LOG --log-prefix "FW TAB=FILTER CHA=INPUT "
:: Logs para forward na porta 80/TCP
# itpables -f filter -A FOWARD -p tcp --dport 80 -j LOG --log-prefix "FW TAB=FILTER CHA=FORWARD "
:: Liberar acesso local a porta 22/TCP
# iptables -t filter -A INPUT -d localhost -p tcp --dport 22 -j ACCEPT
:: Liberar forward para porta 80/TCP
# iptables -t flter -A FORWARD -s 192.168.0.30 -d 172.17.0.1 -p tcp --dport 80 -j ACCEPT
:: Liberar conexão através de seu estado
# iptables -t filter -A FOWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
:: Utilizar range de IPs
# iptables -t filter -A FORWARD -m iprange --src-range 192.168.0.10-192.168.0.20 -d 200.200.199.199 -j ACCEPT
# iptables -t filter -A FORWARD -s 1921.68.0.1 -m iprange --destination-range 172.17.0.1-172.17.0.3 -j ACCEPT
:: Utilizar Intervalo de Portas
# iptables -t filter -A INPUT -p tcp --dport 1024:65535 -j DROP
:: Utilizar Múltiplas Portas
# iptables-t filter -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
:: Inserir regra entre regras já existentes
# iptables -t filter -I INPUT 1 -j LOG
:: Limitando por MAC Address
# iptables -t filter -A INPUT -m mac --mac-source 00:80:AD:2B:60:1C -j DROP
:: Limitando número de conexões por intervalo temporal (Ex.: 2 por segundo)
# iptables -t filter -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT
:: Realizar MASQUERADE (Geralmente utilizado para IPs dinâmicos)
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
:: Realizar SNAT (NAT de Origem)
# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 200.200.199.199
:: Realizar DNAT (Nat de Destino) da porta 80/TCP para porta 80/TCP
# iptables -t nat -A PREROUTING -d 200.200.199.199 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 172.17.0.1
:: Realizar DNAT da porta 80/TCP para 8080/TCP
# iptables -t nat -A PREROUTING -d 200.200.199.199 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 172.17.0.1:8080
:: Visualizar Regras
# iptables -t filter -nvL
# iptables -t filter -nL FORWARD --line-number
# iptables -t nat -nvL --line-number
:: Limpar Regras
# iptables -t filter -F
# iptables -t filter -F FORWARD
:: Excluir Regras (Forma 1 --line-number)
# iptables -t filter-nvL --line-number
Verificar o número da linha que deseja excluir, depois:
# iptables -t filter -D <line-number>
Onde:
line-number: número da linha onde está a regra que será excluída
:: Excluir Regras (Forma 2 -D)
Digitar o mesmo comando para inserção da Regra, mas ao invés de utilizar o parâmetro -A (Append) utilizar o parâmetro -D (Delete)
# itpables -t filter -D -s localhost -j DROP
Nenhum comentário:
Postar um comentário