Пример  команды Iptables для блокировки входящих соединений.

В фигурных скобках вставьте свои переменные:

/sbin/iptables -A INPUT -p tcp --destination-port {НОМЕР_ПОРТА} -j DROP

# блокировка только для интерфейса eth2 #

/sbin/iptables -A INPUT -i eth2 -p tcp --destination-port {НОМЕР_ПОРТА} -j DROP

 # блокировка порта для соединения с определенного IP или подсети #

/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {НОМЕР_ПОРТА} -s {БЛОКИРУЕМЫЙ_IP} -j DROP

/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {НОМЕР_ПОРТА} -s {IP_СЕТИ/МАСКА} -j DROP

Для блокировки 25 порта (SMTP сервер), введите следующий набор команд.

/sbin/iptables -A INPUT -p tcp --destination-port 25 -j DROP
# Изменения вступят в силу после сохранения iptables #

/sbin/service iptables save

 Блокировка входящих соединений на порт 25 кроме с IP адреса 192.168.1.1

 /sbin/iptables -A INPUT -p tcp -i eth2  ! -s 192.168.1.1 --dport 25 -j DROP

Блокировка исходящих соединений с порта

Пример синтаксиса команды.

В фигурных скобках вставьте свои переменные:

/sbin/iptables -A OUTPUT -p tcp --dport {НОМЕР_ПОРТА} -j DROP 
# блокировка только для интерфейса eth2 #
/sbin/iptables -A OUTPUT -i eth2 -p tcp --dport {НОМЕР_ПОРТА} -j DROP 
# блокировка порта для соединения с определенным IP или подсетью #
/sbin/iptables -A OUTPUT -i eth2 -p tcp --destination-port {НОМЕР_ПОРТА} -s {БЛОКИРУЕМЫЙ_IP} -j DROP
/sbin/iptables -A OUTPUT -i eth2 -p tcp --destination-port {НОМЕР_ПОРТА} -s {IP_СЕТИ/МАСКА} -j DROP

 

Для блокировки исходящих соединений с порта #21 (FTP), выполните следующий набор команд:

/sbin/iptables -A OUTPUT -p tcp --dport 21 -j DROP
/sbin/service iptables save

Можно заблокировать исходящие соединения с порта только на определенный IP адрес. Например следующий набор команд блокирует исходящие соединения с порта 321 на IP 8.8.8.8 :

# /sbin/iptables -A OUTPUT -p tcp -d 8.8.8.8 --dport 321 -j DROP
# /sbin/service iptables save

Как включить запись в лог информации о отказах соединения?

Поможет следующий пример:

#Вначале включаем запись события в syslog#

/sbin/iptables -A INPUT -m limit --limit 7/min -j LOG --log-prefix "БЛОКИРОВКА СОЕДИНЕНИЯ С 25 ПОРТОМ: " --log-level 7

# теперь добавляем сам запрет #

/sbin/iptables -A INPUT -p tcp --destination-port 25 -j DROP