[Linux-guvenlik] Re: iptable ile DROP

Thu, 18 Jun 2009 05:14:04 -0700 

Merhaba,

iptables -A INPUT -j DROP satırından önce local interface den gelen paketlere 
izin verilmesi gerekir, sistemin düzgün çalışabilmesi için.
Yani aşağıdaki komutlar

iptables -F INPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s UZAK_IP_ADRESİ -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP

şeklinde değiştirilmeli.
ekstra olarak nelerin drop edildiğini görmek için log komutu eklenmesi çok 
faydalı olacaktır.


iptables -F INPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s UZAK_IP_ADRESİ -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A INPUT -j DROP






On 06/18/2009 03:02 PM, Harun ŞEKER wrote:

Selamlar...

Sisteminize dışarıdan bağlanacak belirli IP adresleri dışındaki tüm IP
adreslerinden gelen bağlantıları reddetmek istediğinizi var sayarak
cevap veriyorum. Hali hazırdar kullanmakta olduğunuz kurallar varsa
uygun şekilde düzenleme yapmanız gerekebilir. Aşağıdaki gibi bir kural
deneyebilirsiniz.

iptables -F INPUT
iptables -A INPUT -s UZAK_IP_ADRESİ -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP

1. Satır INPUT zincirindeki kuralları siler.
2. Satır -s parmetresi ile belirtilen IP adresinden gelen tüm
bağlantıları kabul eder. İstenirse -p (protocol) ve --drpot (hedef port)
parametreleri kullanarak izin verdiğiniz IP adreslerinin sadece izin
verdiğiniz protokoller ile izin verdiğiniz servislere bağlanmasını
sağlayabilirsiniz.
3. Satır kurlları girdiğiniz sistemin kendi başlattığı oturumları devam
ettirebilmesini sağlar.
4. Satır ise yukarıda bahsedilen kurallara uymayan her şeyi DROP eder.

Saygılarımla...
Harun ŞEKER

Bünyamin wrote On 18-06-2009 09:56:

Selamlar,

iptables ile belirlediğim birkaç ip dışındaki tüm ip adreslerini nasıl
DROP edebilirim ?
_______________________________________________
Linux-guvenlik mailing list
[email protected]
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik




_______________________________________________
Linux-guvenlik mailing list
[email protected]
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik

_______________________________________________
Linux-guvenlik mailing list
[email protected]
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik

Cevap