스포츠와 dport는 무엇입니까?


11

iptables를 사용하여 시스템에서 인터넷을 중지하고 싶습니다. 어떻게해야합니까?

iptables -A INPUT -p tcp --sport 80 -j DROP

또는

iptables -A INPUT -p tcp --dport 80 -j DROP ?

답변:


21

현실은 두 가지 다른 질문을하는 것입니다.

  • --sport 짧다 --source-port

  • --dport 짧다 --destination-port

또한 인터넷은 단순히 HTTP포트 80에서 실행되는 프로토콜 이 아닙니다 . HTTP 요청을 차단하는 방법을 묻고있는 것 같습니다. 이를 위해서는 아웃 바운드 체인에서 80을 차단해야합니다.

iptables -A OUTPUT -p tcp --dport 80 -j DROP

모든 아웃 바운드 HTTP 요청을 차단하여 포트 80으로 이동하므로 SSL, 8080 (alt http) 또는 기타 이상한 포트를 차단하여 훨씬 더 심층적 인 패킷 검사로 L7 필터링이 필요한 작업을 수행하지 않습니다.


10

그냥 당신은 맨 페이지에서 iptables에 대한 자세한 읽을 수 @xenoterracide의 대답 연장 iptables(8)(유형 man 8 iptables)하지만 당신이 찾을 수 없습니다 --dport또는 --sport. 이러한 옵션은 iptables-extensions(8)multiport, tcp, udp 및 otherwhere 섹션에 나열되어 있습니다. 이것은 당신에게 흥미로울 수 있습니다.

"시스템에서 인터넷을 중지하려면" sudo ifdown <INTERNET FACING INTERFACE>또는 예 sudo ip link set <INTERNET FACING INTERFACE> down를 들어 네트워크 인터페이스를 끄면됩니다 sudo ip link set eth0 down. 이것을 영구적으로 만들려면 / etc / network / interfaces (Ubuntu, Debian ...) 또는 / etc / sysconfig / network-scripts / ifcfg- (RHEL, SLES, CentOS, Oracle Linux, Fedora)를 찾아야합니다. ...) 또는 네트워크 관리자 구성 또는 사용하는 다른 항목. 이것은 물론 HTTP 기반이 아닌 것을 포함하여 "인터넷"과의 연결을 끊고 iptablesOSI / ISO 계층 2 트래픽 을 사용 하고 처리 할 때 약간의 성능 저하를 방지합니다 .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.