| Blocco sblocco della porta 5900 - Come farlo con iptables [messaggio #41176] |
mer, 17 agosto 2011 15:21  |
 Michele Barbato
Messaggi: 72
Registrato: gennaio 2011 |
Member |
|
|
Quella sotto è la configurazione iptables del mio server, costruita grazie
all'aiuto ottenuto in questo NG.
Confido di nuovo nel vostro aiuto per un paio di comandi che mi consentano
di bloccare/sbloccare la porta 5900 utilizzata per il desktop remoto. La
porta rimarrebbe sempre bloccata, se ne avessi bisogno mi collegherei con
ssh e la sbloccherei.
Grazie.
Mik
iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport 80 -j
REDIRECT --to-port 8080
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -j MASQUERADE
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j
REDIRECT --to-port 8080
#26.7.2011 Forward su telecamere
iptables -t nat -I PREROUTING -p tcp -i eth1 --dport 9001 -j
DNAT --to-destination 192.168.0.7
iptables -t nat -I PREROUTING -p tcp -i eth1 --dport 9002 -j
DNAT --to-destination 192.168.0.8
iptables -t nat -I PREROUTING -p tcp -i eth1 --dport 9003 -j
DNAT --to-destination 192.168.0.9
iptables -t nat -I PREROUTING -p tcp -i eth1 --dport 9004 -j
DNAT --to-destination 192.168.0.10
|
|
|
|
|
|
| Re: Blocco sblocco della porta 5900 - Come farlo con iptables [messaggio #41183 è una risposta a message #41180] |
mer, 17 agosto 2011 18:40  |
Alessandro Selli
Messaggi: 242
Registrato: novembre 2010 |
Senior Member |
|
|
Giuseppe Della Bianca ha scritto:
[...]
> Probabilmente prima di rimuovere la regola devi cercare che numero di
> sequenza gli e' stato assegnano (grep + cut dovrebbe bastare), o potresti
> creare una catena apposta solo per quello (opzione -N di iptables se ricordo
> bene).
Se si conosce il numero progressivo della vecchia regola, si può
sostituire con la nuova regola in un passo solo. Ad esempio, partendo
con una catena vuota:
~ # iptables -vL INPUT
Chain INPUT (policy ACCEPT 170K packets, 66M bytes)
pkts bytes target prot opt in out source
destination
Aggiungo una regola:
~ # iptables -A INPUT -s 10.0.0.0/8 -d 176.16.20.15 -p tcp --dport 80 -j
REJECT
~ # iptables -vL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 REJECT tcp -- any any 10.0.0.0/8
176.16.20.15 tcp dpt:http reject-with icmp-port-unreachable
Supponiamo che voglia sostituire questa regola con una simile ma che
blocchi la porta SSH (22) e non quella HTTP (80). Si può fare così:
~ # iptables -R INPUT 1 -s 10.0.0.0/8 -d 176.16.20.15 -p tcp --dport 22
-j REJECT
~ # iptables -vL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 REJECT tcp -- any any 10.0.0.0/8
176.16.20.15 tcp dpt:ssh reject-with icmp-port-unreachable
Fossero le regole troppo numerose per contarle ad occhio, si può usare
lo switch --line-numbers, ad es.:
~ # iptables --line-numbers -vL INPUT
Chain INPUT (policy ACCEPT 146 packets, 19274 bytes)
num pkts bytes target prot opt in out source
destination
1 0 0 REJECT tcp -- any any 10.0.0.0/8
176.16.20.15 tcp dpt:ssh reject-with icmp-port-unreachable
Ciao,
--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
|
|
|
|
|
|
My forum, my way! Il forum dei newsgroup
Utenti
F.A.Q.
Registrati
Login
Home
E-mail ad un amico 
