Je souhaite arrêter Internet sur mon système à l'aide d'iptables, que dois-je faire?
iptables -A INPUT -p tcp --sport 80 -j DROP
ou
iptables -A INPUT -p tcp --dport 80 -j DROP
?
En réalité, vous posez 2 questions différentes.
--sport
est l'abréviation de --source-port
--dport
est l'abréviation de --destination-port
Internet n'est pas non plus simplement le HTTP
protocole qui fonctionne généralement sur le port 80. Je suppose que vous demandez comment bloquer les requêtes HTTP. pour ce faire, vous devez bloquer 80 sur la chaîne sortante.
iptables -A OUTPUT -p tcp --dport 80 -j DROP
bloquera toutes les requêtes HTTP sortantes, allant au port 80, donc cela ne bloquera pas SSL, 8080 (alt http) ou tout autre port bizarre, pour faire ce genre de choses dont vous avez besoin du filtrage L7 avec une inspection des paquets beaucoup plus approfondie.
Juste pour étendre la réponse de @xenoterracide Vous pouvez en savoir plus sur iptables dans la page de manuel iptables(8)
(type man 8 iptables
) mais vous n'y trouverez pas --dport
ou --sport
. Ces options sont répertoriées dans iptables-extensions(8)
la section multiport, tcp, udp et ailleurs. Cela pourrait vous intéresser.
Pour "arrêter Internet sur votre système", vous pouvez probablement simplement désactiver l'interface réseau avec sudo ifdown <INTERNET FACING INTERFACE>
ou sudo ip link set <INTERNET FACING INTERFACE> down
par exemple sudo ip link set eth0 down
. Pour rendre cela permanent, vous devez jeter un œil dans / etc / network / interfaces (Ubuntu, Debian ...) ou / etc / sysconfig / network-scripts / ifcfg- (sur RHEL, SLES, CentOS, Oracle Linux, Fedora ...) ou votre configuration de gestionnaire de réseau ou toute autre chose que vous utilisez. Bien sûr, cela coupera toutes les connexions vers ou depuis "Internet", même celles qui ne sont pas basées sur HTTP, et empêchera le léger impact sur les performances de l'utilisation iptables
et du traitement du trafic de couche 2 OSI / ISO.