Die Konfigurationsmöglichkeiten von IPTables sind sehr umfangreich. Wir haben daher die wichtigsten IPTables Befehle in einem kurzen HowTo für unsere Kunden zusammengefasst.
Komplettes IP-Subnetz blockieren mit CIDR schreibweise
iptables -A INPUT -s 116.10.191.0/24 -j DROP
IP-Range blockieren
iptables -I INPUT -m iprange --src-range 116.10.191.20-116.10.191.50 -j DROP
SSH Verbindung ausschließlich von einer bestimmten IP-Adresse zulassen
iptables -A INPUT -p tcp -s 192.168.178.1 --dport 22 -j ACCEPT
IPTables Log
iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
IPTables Regeln dauerhaft speichern
Normalerweise werden IPTables Regeln nur temporär bis zum Neustart eines Servers gespeichert. Mit den nachfolgenden Befehlen können diese dauerhaft gespeichert oder wiederhergestellt werden:
iptables-save > /etc/iptables/rules iptables-restore < /etc/iptables/rules
DDOS Schutz mit IPTables
Erlaubt pro IP 8 Verbindungen pro Sekunde
iptables -A INPUT -p tcp --syn -m limit --limit 1 /s --limit-burst 8 -j DROP
Syn-Flood Protection
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
Port Scannen verhindern
iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT iptables -A INPUT -p tcp ! –-syn -m state –state NEW -j LOG –log-prefix “Stealth Scan” iptables -A INPUT -p tcp ! –-syn -m state –state NEW -j DROP
Hallo,
interessant. Leider liefert da folgende Statement einen Error
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j LOG –log-prefix “Stealth Scan”
Bad argument `–syn‘
Guten Morgen,
ich habe den Command einmal korrigiert. Hier fehlte augenscheinlich ein weiterer –
Viele Grüße
Michael Schinzel