Die Konfigurationsmöglichkeiten von IPTables sind sehr umfangreich. Wir haben daher die wichtigsten IPTables Befehle in einem kurzen HowTo für unsere Kunden zusammengefasst.

Komplettes IP-Subnetz blockieren mit CIDR schreibweise

 

iptables -A INPUT -s 116.10.191.0/24 -j DROP

 

IP-Range blockieren

iptables -I INPUT -m iprange --src-range 116.10.191.20-116.10.191.50 -j DROP

 

 

SSH Verbindung ausschließlich von einer bestimmten IP-Adresse zulassen

iptables -A INPUT -p tcp -s 192.168.178.1 --dport 22 -j ACCEPT

 

 

IPTables Log

iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

 

 

IPTables Regeln dauerhaft speichern

Normalerweise werden IPTables Regeln nur temporär bis zum Neustart eines Servers gespeichert. Mit den nachfolgenden Befehlen können diese dauerhaft gespeichert oder wiederhergestellt werden:

iptables-save > /etc/iptables/rules
iptables-restore < /etc/iptables/rules

 

 

DDOS Schutz mit IPTables

Erlaubt pro IP 8 Verbindungen pro Sekunde

iptables -A INPUT -p tcp --syn -m limit --limit 1 /s --limit-burst 8 -j DROP

 

 

Syn-Flood Protection

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT 

 

 

Port Scannen verhindern

iptables -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 1/h -j ACCEPT 
iptables -A INPUT -p tcp --tcp-flags ALL ALL -m limit --limit 1/h -j ACCEPT
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j LOG –log-prefix “Stealth Scan”
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP