O que é esporte e dport?

11

Quero parar a Internet no meu sistema usando o iptables. O que devo fazer?

iptables -A INPUT -p tcp --sport 80 -j DROP

ou

iptables -A INPUT -p tcp --dport 80 -j DROP ?

Chankey Pathak
fonte

Respostas:

21

A realidade é que você está fazendo duas perguntas diferentes.

  • --sport é curto para --source-port

  • --dport é curto para --destination-port

também a internet não é simplesmente o HTTPprotocolo que normalmente é executado na porta 80. Eu suspeito que você esteja perguntando como bloquear solicitações HTTP. para fazer isso, você precisa bloquear 80 na cadeia de saída.

iptables -A OUTPUT -p tcp --dport 80 -j DROP

irá bloquear todas as solicitações HTTP de saída, indo para a porta 80, para que isso não bloqueie o SSL, o 8080 (http alt) ou quaisquer outras portas estranhas, para fazer os tipos de coisas que você precisa na filtragem L7 com uma inspeção de pacotes muito mais profunda.

xenoterracida
fonte
10

Apenas para estender a resposta de @xenoterracide Você pode ler mais sobre o iptables na página de manual iptables(8)(tipo man 8 iptables), mas você não encontrará --dportou --sport. Essas opções estão listadas na iptables-extensions(8)seção multiport, tcp, udp e em outros lugares. Isso pode ser interessante para você.

Para "parar a internet no seu sistema", você provavelmente pode simplesmente desligar a interface de rede com sudo ifdown <INTERNET FACING INTERFACE>ou sudo ip link set <INTERNET FACING INTERFACE> downpor exemplo sudo ip link set eth0 down. Para tornar isso permanente, você precisa dar uma olhada em / etc / network / interfaces (Ubuntu, Debian ...) ou / etc / sysconfig / network-scripts / ifcfg- (no RHEL, SLES, CentOS, Oracle Linux, Fedora ...) ou sua configuração do gerenciador de rede ou qualquer outra coisa que você usar. É claro que isso cortará todas as conexões de ou para a "Internet", mesmo as que não são baseadas em HTTP, e evitará o leve impacto no desempenho do uso iptablese processamento do tráfego da camada 2 OSI / ISO.

AdamKalisz
fonte