Mrz 04

IPTABLES Black- und Whitelist

Iptables Whitelist
Bei diesem einfachen Beispiel der iptables-Datei (unter CentOS 6 /etc/sysconfig/iptables) werden alle Verbindungen gekappt. Die einzigen Ausnahmen bilden dabei zwei IP-Adressen: 192.168.0.17 und 192.168.0.22. Diese IP-Adressen können sowohl einkommend als auch ausgehend für icmp, tcp und udp bedient werden.

# Generated by iptables-save v1.4.7 
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [166:25321]
 
#192.168.0.17 erlauben
-A INPUT -s 192.168.0.17/32 -p icmp -m icmp -j ACCEPT
-A INPUT -s 192.168.0.17/32 -p tcp -m tcp -j ACCEPT
-A INPUT -s 192.168.0.17/32 -p udp -m udp -j ACCEPT
-A OUTPUT -d 192.168.0.17/32 -p icmp -m icmp -j ACCEPT
-A OUTPUT -d 192.168.0.17/32 -p tcp -m tcp -j ACCEPT
-A OUTPUT -d 192.168.0.17/32 -p udp -m udp -j ACCEPT
 
#192.168.0.22 erlauben
-A INPUT -s 192.168.0.22/32 -p icmp -m icmp -j ACCEPT
-A INPUT -s 192.168.0.22/32 -p tcp -m tcp -j ACCEPT
-A INPUT -s 192.168.0.22/32 -p udp -m udp -j ACCEPT
-A OUTPUT -d 192.168.0.22/32 -p icmp -m icmp -j ACCEPT
-A OUTPUT -d 192.168.0.22/32 -p tcp -m tcp -j ACCEPT
-A OUTPUT -d 192.168.0.22/32 -p udp -m udp -j ACCEPT
 
#localhost erlauben
-A INPUT -s 127.0.0.1 -p icmp -m icmp -j ACCEPT
-A INPUT -s 127.0.0.1 -p tcp -m tcp -j ACCEPT
-A INPUT -s 127.0.0.1 -p udp -m udp -j ACCEPT
-A OUTPUT -d 127.0.0.1 -p icmp -m icmp -j ACCEPT
-A OUTPUT -d 127.0.0.1 -p tcp -m tcp -j ACCEPT
-A OUTPUT -d 127.0.0.1 -p udp -m udp -j ACCEPT
 
COMMIT

IPTABLES-Blacklist
Bei diesem Beispiel wird allen IP-Adressen außer der 192.168.0.17 und 192.168.0.22 erlaubt über icmp, tcp und udp zu kommunizieren.

# Generated by iptables-save v1.4.7 
*filter
:INPUT ACCEPT [42930:57785664]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42884:57880741]
 
#192.168.0.17 verbieten
-A INPUT -s 192.168.0.17/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable
-A INPUT -s 192.168.0.17/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable
-A INPUT -s 192.168.0.17/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -d 192.168.0.17/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -d 192.168.0.17/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -d 192.168.0.17/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable
 
#192.168.0.22 verbieten
-A INPUT -s 192.168.0.22/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable
-A INPUT -s 192.168.0.22/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable
-A INPUT -s 192.168.0.22/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -d 192.168.0.22/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -d 192.168.0.22/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable
-A OUTPUT -d 192.168.0.22/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable
 
COMMIT

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.