Пример команды Iptables для блокировки входящих соединений.
В фигурных скобках вставьте свои переменные:
/sbin/iptables -A INPUT -p tcp --destination-port {НОМЕР_ПОРТА} -j DROP
# блокировка только для интерфейса eth2 #
/sbin/iptables -A INPUT -i eth2 -p tcp --destination-port {НОМЕР_ПОРТА} -j DROP
# блокировка порта для соединения с определенного IP или подсети #
/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {НОМЕР_ПОРТА} -s {БЛОКИРУЕМЫЙ_IP} -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {НОМЕР_ПОРТА} -s {IP_СЕТИ/МАСКА} -j DROP
Для блокировки 25 порта (SMTP сервер), введите следующий набор команд.
/sbin/iptables -A INPUT -p tcp --destination-port 25 -j DROP
# Изменения вступят в силу после сохранения
iptables
#
/sbin/service iptables save
Блокировка входящих соединений на порт 25 кроме с
IP
адреса 192.168.1.1
/sbin/iptables -A INPUT -p tcp -i eth2 ! -s 192.168.1.1 --dport 25 -j DROP
Блокировка исходящих соединений с порта
Пример синтаксиса команды.
В фигурных скобках вставьте свои переменные:
/sbin/iptables -A OUTPUT -p tcp --dport {НОМЕР_ПОРТА} -j DROP
# блокировка только для интерфейса eth2 #
/sbin/iptables -A OUTPUT -i eth2 -p tcp --dport {НОМЕР_ПОРТА} -j DROP
# блокировка порта для соединения с определенным IP или подсетью #
/sbin/iptables -A OUTPUT -i eth2 -p tcp --destination-port {НОМЕР_ПОРТА} -s {БЛОКИРУЕМЫЙ_IP} -j DROP
/sbin/iptables -A OUTPUT -i eth2 -p tcp --destination-port {НОМЕР_ПОРТА} -s {IP_СЕТИ/МАСКА} -j DROP
Для блокировки исходящих соединений с порта #21 (FTP), выполните следующий набор команд:
/sbin/iptables -A OUTPUT -p tcp --dport 21 -j DROP
/sbin/service iptables save
Можно заблокировать исходящие соединения с порта только на определенный IP адрес. Например следующий набор команд блокирует исходящие соединения с порта 321 на IP 8.8.8.8 :
# /sbin/iptables -A OUTPUT -p tcp -d 8.8.8.8 --dport 321 -j DROP
# /sbin/service iptables save
Как включить запись в лог информации о отказах соединения?
Поможет следующий пример:
#Вначале включаем запись события в syslog#
/sbin/iptables -A INPUT -m limit --limit 7/min -j LOG --log-prefix "БЛОКИРОВКА СОЕДИНЕНИЯ С 25 ПОРТОМ: " --log-level 7
# теперь добавляем сам запрет #
/sbin/iptables -A INPUT -p tcp --destination-port 25 -j DROP