انجمن‌های فارسی اوبونتو

کمک و پشتیبانی => شبکه و سرویس‌ دهنده‌ها => نویسنده: h66m9d در 11 مهر 1391، 02:43 ب‌ظ

عنوان: بستن تمام پورتها بجز یکی
ارسال شده توسط: h66m9d در 11 مهر 1391، 02:43 ب‌ظ: سلام
کسی از دوستان میدونه چطور میشه همه پورت ها رو به وسیله iptables بجز یک پورت بست؟ (اگه میشه یه نمونه دستورش رو بگین)
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: alieblice در 11 مهر 1391، 04:42 ب‌ظ: باید policy همه چین هارو به deny تغییر بدین بعد همون پرت مورد نظرتون رو توش باز کنین . واقعا دستوراتش یادم نیست وگرنه میزاشتم تو این جا اموزش iptables به صورت خیلی ساده گفته از اون منویه سیرچ سمت چپ iptables رو سیرچ کنین :
http://www.thegeekstuff.com/
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: h66m9d در 11 مهر 1391، 10:18 ب‌ظ: نقل‌قول از: alieblice در 11 مهر 1391، 04:42 ب‌ظ
باید policy همه چین هارو به deny تغییر بدین بعد همون پرت مورد نظرتون رو توش باز کنین . واقعا دستوراتش یادم نیست وگرنه میزاشتم تو این جا اموزش iptables به صورت خیلی ساده گفته از اون منویه سیرچ سمت چپ iptables رو سیرچ کنین :
http://www.thegeekstuff.com/
چیزی که دقیقا مد نظرم هست اینه که بشه همه پورتها رو بست بجز یکی حالا میخاد از طریق iptables باشه یا host.deny یا هر چیز دیگه فرقی برام نداره
این راهی که شما میگویید احتمالا من باید برای چند صد پورت چین تعریف کنم تا همه شون رو ببندم
اگه بخوام دقیق تر منظورم رو بگم : دیدید یه آی پی رو با یک علامت تعجب در اول آی پی از دستور استثناء میکنن؟ یه چیزی تو اون مایه ها ولی نه در مورد آی پی بلکه در مورد پورت
حقیقتش من یه همچین چیزی رو هیچ جا ندیدم ولی اگه راهی برای این کار چه از طریق فایروال چه غیر اون به نظرتون میرسه ممنون میشم بفرمایید.
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: doomhammer65ir در 11 مهر 1391، 11:38 ب‌ظ: کد: [انتخاب]
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -j DROP iptables -L -n -v
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: alieblice در 12 مهر 1391، 12:44 ب‌ظ: لازم نیست چند صد تا چین تعریف کنین . کلا چند صد تا چین معنی هم نداره.
http://www.thegeekstuff.com/2011/02/iptables-add-rule/
فقط لازمه 3 تا دستور بزنین که میشه ماله input output forward
مثلا برایه input این جوری :
iptables -A INPUT -j DROP
برایه بقیم که انجام دادین فقط لازم بعد پورت مورد نظرتون رو باز کنین .

روش جناب doomhammer65ir هم کاملا درسته ولی فقط برایه eth0 و پرت هایه tcp اعمال میشه.
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: triumph در 12 مهر 1391، 02:04 ب‌ظ: سلام دوستم..
کد: [انتخاب]
iptables -A INPUT -i eth0 -p tcp !--dport 22 -j DROP
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: h66m9d در 13 مهر 1391، 12:09 ب‌ظ: نقل‌قول از: doomhammer65ir در 11 مهر 1391، 11:38 ب‌ظ
کد: [انتخاب]
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp -j DROP iptables -L -n -v

ACCEPT به DROP ارجحیت داره؟
اگه داشته باشه نمیشه بزنیم:
کد: [انتخاب]
iptables -j DROP iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT؟ :o
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: doomhammer65ir در 13 مهر 1391، 12:57 ب‌ظ: قانون ها از شماره یک پردازش و با درخواستی که به iptables آمده سنجیده میشود . اگر همخوانی داشته باشد همان قانون شماره یک اجرا خواهد شد .
پس اگر در شماره 1 بنویسیم :
کد: [انتخاب]
iptables -j DROPهمه ی درخواست ها با این قانون همخوان است . پس همواره همین قانون اجرا خواهد شد و کار به دومی و سومی نمیکشد
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: h66m9d در 13 مهر 1391، 01:18 ب‌ظ: ممنون.
کد: [انتخاب]
iptables -p !tcp --dport 22 -j DROP iptables -p tcp --dport 22 -j ACCEPTاین یکی چی؟ عمل میکنه؟
========
نقل‌قول از: doomhammer65ir در 13 مهر 1391، 12:57 ب‌ظ
قانون ها از شماره یک پردازش و با درخواستی که به iptables آمده سنجیده میشود . اگر همخوانی داشته باشد همان قانون شماره یک اجرا خواهد شد .
پس اگر در شماره 1 بنویسیم :
کد: [انتخاب]
iptables -j DROPهمه ی درخواست ها با این قانون همخوان است . پس همواره همین قانون اجرا خواهد شد و کار به دومی و سومی نمیکشد
حالا اگه ارجحیتی وجود نداشته باشه پس ACCEPT چه معنی داره؟
چون به طور پیشفرض همه باز هستند. (مگه اینطور نیست؟)
عنوان: پاسخ : بستن تمام پورتها بجز یکی
ارسال شده توسط: دانیال بهزادی در 13 مهر 1391، 09:26 ب‌ظ: درخواست accept رو تو خط نخست برای اون آی‌پی بنویس.
تو خط دوم هم بنویس همه‌ی پورت‌ها drop بشن
همین