Я хочу зупинити Інтернет у своїй системі за допомогою iptables, і що мені робити?
iptables -A INPUT -p tcp --sport 80 -j DROP
або
iptables -A INPUT -p tcp --dport 80 -j DROP ?
Я хочу зупинити Інтернет у своїй системі за допомогою iptables, і що мені робити?
iptables -A INPUT -p tcp --sport 80 -j DROP
або
iptables -A INPUT -p tcp --dport 80 -j DROP ?
Відповіді:
Реальність - це ви задаєте два різні питання.
--sport короткий для --source-port
--dport короткий для --destination-port
Також Інтернет - це не просто HTTPпротокол, який зазвичай працює на порту 80. Я підозрюю, що ви запитуєте, як заблокувати HTTP-запити. для цього вам потрібно заблокувати 80 на вихідній ланцюжку.
iptables -A OUTPUT -p tcp --dport 80 -j DROP
заблокує всі вихідні запити HTTP, переходячи до порту 80, тому це не блокує SSL, 8080 (alt http) або будь-які інші дивні порти, щоб робити такі речі, які вам потрібні для фільтрації L7, за допомогою більш глибокої перевірки пакетів.
Просто для розширення відповіді на @xenoterracide Ви можете прочитати більше про iptables на сторінці iptables(8)(тип man 8 iptables), але там ви не знайдете --dportабо --sport. Ці параметри перераховані у iptables-extensions(8)розділі мультипорт, tcp, udp та інших місцях. Це може бути цікавим для вас.
Щоб "зупинити Інтернет у вашій системі", ви можете, ймовірно, просто вимкнути мережевий інтерфейс за допомогою sudo ifdown <INTERNET FACING INTERFACE>або, sudo ip link set <INTERNET FACING INTERFACE> downнаприклад sudo ip link set eth0 down. Щоб зробити це постійним, вам потрібно переглянути / etc / network / interfaces (Ubuntu, Debian ...) або / etc / sysconfig / network-scriptpts / ifcfg- (на RHEL, SLES, CentOS, Oracle Linux, Fedora ...) або ваш конфігуратор мережевого менеджера чи все, що ви використовуєте. Це, звичайно, перерве будь-які з'єднання з "Інтернетом" або з них, навіть не на основі HTTP, і запобіжить незначному впливу продуктивності використання iptablesта обробки трафіку OSI / ISO рівня 2.