We willen alles blokkeren op de CentOS server behalve een aantal ip adressen die verbinding mogen maken.
Hieronder kunt u zien hoe u iptables kunt dichtzetten van buitenaf.
Maak iptables leeg.
iptables -Fiptables -X
Inkomende verbindingen toestaan via ssh.
iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport ssh -j ACCEPTiptables -A INPUT -p tcp -s hierhetipadres --dport ssh -j ACCEPT
Blokkeer alle overige ssh verkeer.
iptables -A INPUT -p tcp --dport ssh -j REJECTBlokkeer alle binnenkomende overige verkeer.
iptables -A INPUT -j DROP//voeg onderstaande regel toe op de 3e plaats bij INPUTiptables -I INPUT 3 -p tcp -s hierhetipadress --dport ssh -j ACCEPT
Dns openzetten.
iptables -I INPUT 1 -p icmp -j ACCEPTiptables -I INPUT 2 -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPTiptables -I INPUT 3 -p tcp -m tcp --dport 1024:65535 --sport 53 -j ACCEPT
Indien de router dns doet kun je ook alleen deze toegang geven voor dns.
iptables -I INPUT 1 -p icmp -j ACCEPTiptables -I INPUT 2 -p udp -s 10.0.0.1 -m udp --dport 1024:65535 --sport 53 -j ACCEPTiptables -I INPUT 3 -p tcp -s 10.0.0.1 -m tcp --dport 1024:65535 --sport 53 -j ACCEPT
Verwijder de 4e regel van INPUT.
iptables -D INPUT 4Sla iptables op.
service iptables saveherstart iptables.
service iptables restartBekijk de actieve regels/status.
service iptables status Om het nog veiliger te maken kan er ook nog een bestemming aangegeven worden voor de inkomende regels (commando -d hierhetipadres).
LET hierbij op dat de regels met ACCEPT boven REJECT/DROP komen te staan.