Iptables Whitelist
Bei diesem einfachen Beispiel der iptables-Datei (unter CentOS 6 /etc/sysconfig/iptables) werden alle Verbindungen gekappt. Die einzigen Ausnahmen bilden dabei zwei IP-Adressen: 192.168.0.17 und 192.168.0.22. Diese IP-Adressen können sowohl einkommend als auch ausgehend für icmp, tcp und udp bedient werden.
# Generated by iptables-save v1.4.7 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [166:25321] #192.168.0.17 erlauben -A INPUT -s 192.168.0.17/32 -p icmp -m icmp -j ACCEPT -A INPUT -s 192.168.0.17/32 -p tcp -m tcp -j ACCEPT -A INPUT -s 192.168.0.17/32 -p udp -m udp -j ACCEPT -A OUTPUT -d 192.168.0.17/32 -p icmp -m icmp -j ACCEPT -A OUTPUT -d 192.168.0.17/32 -p tcp -m tcp -j ACCEPT -A OUTPUT -d 192.168.0.17/32 -p udp -m udp -j ACCEPT #192.168.0.22 erlauben -A INPUT -s 192.168.0.22/32 -p icmp -m icmp -j ACCEPT -A INPUT -s 192.168.0.22/32 -p tcp -m tcp -j ACCEPT -A INPUT -s 192.168.0.22/32 -p udp -m udp -j ACCEPT -A OUTPUT -d 192.168.0.22/32 -p icmp -m icmp -j ACCEPT -A OUTPUT -d 192.168.0.22/32 -p tcp -m tcp -j ACCEPT -A OUTPUT -d 192.168.0.22/32 -p udp -m udp -j ACCEPT #localhost erlauben -A INPUT -s 127.0.0.1 -p icmp -m icmp -j ACCEPT -A INPUT -s 127.0.0.1 -p tcp -m tcp -j ACCEPT -A INPUT -s 127.0.0.1 -p udp -m udp -j ACCEPT -A OUTPUT -d 127.0.0.1 -p icmp -m icmp -j ACCEPT -A OUTPUT -d 127.0.0.1 -p tcp -m tcp -j ACCEPT -A OUTPUT -d 127.0.0.1 -p udp -m udp -j ACCEPT COMMIT |
IPTABLES-Blacklist
Bei diesem Beispiel wird allen IP-Adressen außer der 192.168.0.17 und 192.168.0.22 erlaubt über icmp, tcp und udp zu kommunizieren.
# Generated by iptables-save v1.4.7 *filter :INPUT ACCEPT [42930:57785664] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [42884:57880741] #192.168.0.17 verbieten -A INPUT -s 192.168.0.17/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable -A INPUT -s 192.168.0.17/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable -A INPUT -s 192.168.0.17/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable -A OUTPUT -d 192.168.0.17/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable -A OUTPUT -d 192.168.0.17/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable -A OUTPUT -d 192.168.0.17/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable #192.168.0.22 verbieten -A INPUT -s 192.168.0.22/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable -A INPUT -s 192.168.0.22/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable -A INPUT -s 192.168.0.22/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable -A OUTPUT -d 192.168.0.22/32 -p icmp -m icmp -j REJECT --reject-with icmp-host-unreachable -A OUTPUT -d 192.168.0.22/32 -p tcp -m tcp -j REJECT --reject-with icmp-host-unreachable -A OUTPUT -d 192.168.0.22/32 -p udp -m udp -j REJECT --reject-with icmp-host-unreachable COMMIT |
Neueste Kommentare