Quero parar a Internet no meu sistema usando o iptables. O que devo fazer?
iptables -A INPUT -p tcp --sport 80 -j DROP
ou
iptables -A INPUT -p tcp --dport 80 -j DROP ?
11
A realidade é que você está fazendo duas perguntas diferentes.
--sport é curto para --source-port
--dport é curto para --destination-port
também a internet não é simplesmente o HTTPprotocolo que normalmente é executado na porta 80. Eu suspeito que você esteja perguntando como bloquear solicitações HTTP. para fazer isso, você precisa bloquear 80 na cadeia de saída.
iptables -A OUTPUT -p tcp --dport 80 -j DROP
irá bloquear todas as solicitações HTTP de saída, indo para a porta 80, para que isso não bloqueie o SSL, o 8080 (http alt) ou quaisquer outras portas estranhas, para fazer os tipos de coisas que você precisa na filtragem L7 com uma inspeção de pacotes muito mais profunda.
Apenas para estender a resposta de @xenoterracide Você pode ler mais sobre o iptables na página de manual iptables(8)(tipo man 8 iptables), mas você não encontrará --dportou --sport. Essas opções estão listadas na iptables-extensions(8)seção multiport, tcp, udp e em outros lugares. Isso pode ser interessante para você.
Para "parar a internet no seu sistema", você provavelmente pode simplesmente desligar a interface de rede com sudo ifdown <INTERNET FACING INTERFACE>ou sudo ip link set <INTERNET FACING INTERFACE> downpor exemplo sudo ip link set eth0 down. Para tornar isso permanente, você precisa dar uma olhada em / etc / network / interfaces (Ubuntu, Debian ...) ou / etc / sysconfig / network-scripts / ifcfg- (no RHEL, SLES, CentOS, Oracle Linux, Fedora ...) ou sua configuração do gerenciador de rede ou qualquer outra coisa que você usar. É claro que isso cortará todas as conexões de ou para a "Internet", mesmo as que não são baseadas em HTTP, e evitará o leve impacto no desempenho do uso iptablese processamento do tráfego da camada 2 OSI / ISO.