We willen alles blokkeren op de CentOS server behalve een aantal ip adressen die verbinding mogen maken.
Hieronder kunt u zien hoe u iptables kunt dichtzetten van buitenaf.
Maak iptables leeg.
iptables -F
iptables -X
Inkomende verbindingen toestaan via ssh.
iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -s hierhetipadres --dport ssh -j ACCEPT
Blokkeer alle overige ssh verkeer.
iptables -A INPUT -p tcp --dport ssh -j REJECT
Blokkeer alle binnenkomende overige verkeer.
iptables -A INPUT -j DROP
//voeg onderstaande regel toe op de 3e plaats bij INPUT
iptables -I INPUT 3 -p tcp -s hierhetipadress --dport ssh -j ACCEPT
Dns openzetten.
iptables -I INPUT 1 -p icmp -j ACCEPT
iptables -I INPUT 2 -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
iptables -I INPUT 3 -p tcp -m tcp --dport 1024:65535 --sport 53 -j ACCEPT
Indien de router dns doet kun je ook alleen deze toegang geven voor dns.
iptables -I INPUT 1 -p icmp -j ACCEPT
iptables -I INPUT 2 -p udp -s 10.0.0.1 -m udp --dport 1024:65535 --sport 53 -j ACCEPT
iptables -I INPUT 3 -p tcp -s 10.0.0.1 -m tcp --dport 1024:65535 --sport 53 -j ACCEPT
Verwijder de 4e regel van INPUT.
iptables -D INPUT 4
Sla iptables op.
service iptables save
herstart iptables.
service iptables restart
Bekijk de actieve regels/status.
service iptables status
Om het nog veiliger te maken kan er ook nog een bestemming aangegeven worden voor de inkomende regels (commando -d hierhetipadres).
LET hierbij op dat de regels met ACCEPT boven REJECT/DROP komen te staan.