بستن تمام پورتها بجز یکی

[h66m9d]

سلام
کسی از دوستان میدونه چطور میشه همه پورت ها رو به وسیله iptables بجز یک پورت بست؟ (اگه میشه یه نمونه دستورش رو بگین)

[alieblice]

باید policy همه چین هارو به deny تغییر بدین بعد همون پرت مورد نظرتون رو توش باز کنین . واقعا دستوراتش یادم نیست وگرنه میزاشتم تو این جا اموزش iptables به صورت خیلی ساده گفته از اون منویه سیرچ سمت چپ iptables رو سیرچ کنین :
http://www.thegeekstuff.com/

[h66m9d]

باید policy همه چین هارو به deny تغییر بدین بعد همون پرت مورد نظرتون رو توش باز کنین . واقعا دستوراتش یادم نیست وگرنه میزاشتم تو این جا اموزش iptables به صورت خیلی ساده گفته از اون منویه سیرچ سمت چپ iptables رو سیرچ کنین :
http://www.thegeekstuff.com/

چیزی که دقیقا مد نظرم هست اینه که بشه همه پورتها رو بست بجز یکی حالا میخاد از طریق iptables باشه یا host.deny یا هر چیز دیگه فرقی برام نداره
این راهی که شما میگویید احتمالا من باید برای چند صد پورت چین تعریف کنم تا همه شون رو ببندم
اگه بخوام دقیق تر منظورم رو بگم : دیدید یه آی پی رو با یک علامت تعجب در اول آی پی از دستور استثناء میکنن؟ یه چیزی تو اون مایه ها ولی نه در مورد آی پی بلکه در مورد پورت
حقیقتش من یه همچین چیزی رو هیچ جا ندیدم ولی اگه راهی برای این کار چه از طریق فایروال چه غیر اون به نظرتون میرسه ممنون میشم بفرمایید.

[doomhammer65ir]

کد: [انتخاب]

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -j DROP
iptables -L -n -v

[alieblice]

لازم نیست چند صد تا چین تعریف کنین . کلا چند صد تا چین معنی هم نداره.
http://www.thegeekstuff.com/2011/02/iptables-add-rule/
فقط لازمه 3 تا دستور بزنین که میشه ماله input output forward
مثلا برایه input این جوری :
iptables -A INPUT -j DROP
برایه بقیم که انجام دادین فقط لازم بعد پورت مورد نظرتون رو باز کنین .

روش جناب doomhammer65ir هم کاملا درسته ولی فقط برایه eth0  و پرت هایه tcp اعمال میشه.

[triumph]

سلام دوستم..

کد: [انتخاب]

iptables -A INPUT -i eth0 -p tcp !--dport 22 -j DROP


[h66m9d]

کد: [انتخاب]

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -j DROP
iptables -L -n -v

ACCEPT به DROP ارجحیت داره؟
اگه داشته باشه نمیشه بزنیم:

کد: [انتخاب]

iptables -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
؟

[doomhammer65ir]

قانون ها از شماره یک پردازش و با درخواستی که به iptables آمده سنجیده میشود . اگر همخوانی داشته باشد همان قانون شماره یک اجرا خواهد شد .
پس اگر در شماره 1 بنویسیم :

کد: [انتخاب]

iptables -j DROPهمه ی درخواست ها با این قانون همخوان است . پس همواره همین قانون اجرا خواهد شد و کار به دومی و سومی  نمیکشد

[h66m9d]

ممنون.

کد: [انتخاب]

iptables -p !tcp --dport 22 -j DROP
iptables -p tcp --dport 22 -j ACCEPT
این یکی چی؟ عمل میکنه؟
========

قانون ها از شماره یک پردازش و با درخواستی که به iptables آمده سنجیده میشود . اگر همخوانی داشته باشد همان قانون شماره یک اجرا خواهد شد .
پس اگر در شماره 1 بنویسیم :

کد: [انتخاب]

iptables -j DROPهمه ی درخواست ها با این قانون همخوان است . پس همواره همین قانون اجرا خواهد شد و کار به دومی و سومی  نمیکشد

حالا اگه ارجحیتی وجود نداشته باشه پس ACCEPT چه معنی داره؟
چون به طور پیشفرض همه باز هستند. (مگه اینطور نیست؟)

[دانیال بهزادی]

درخواست accept رو تو خط نخست برای اون آی‌پی بنویس.
تو خط دوم هم بنویس همه‌ی پورت‌ها drop بشن
همین