Qu'est-ce que le sport et le sport?

11

Je souhaite arrêter Internet sur mon système à l'aide d'iptables, que dois-je faire?

iptables -A INPUT -p tcp --sport 80 -j DROP

ou

iptables -A INPUT -p tcp --dport 80 -j DROP ?

Chankey Pathak
la source

Réponses:

21

En réalité, vous posez 2 questions différentes.

  • --sport est l'abréviation de --source-port

  • --dport est l'abréviation de --destination-port

Internet n'est pas non plus simplement le HTTPprotocole qui fonctionne généralement sur le port 80. Je suppose que vous demandez comment bloquer les requêtes HTTP. pour ce faire, vous devez bloquer 80 sur la chaîne sortante.

iptables -A OUTPUT -p tcp --dport 80 -j DROP

bloquera toutes les requêtes HTTP sortantes, allant au port 80, donc cela ne bloquera pas SSL, 8080 (alt http) ou tout autre port bizarre, pour faire ce genre de choses dont vous avez besoin du filtrage L7 avec une inspection des paquets beaucoup plus approfondie.

xénoterracide
la source
10

Juste pour étendre la réponse de @xenoterracide Vous pouvez en savoir plus sur iptables dans la page de manuel iptables(8)(type man 8 iptables) mais vous n'y trouverez pas --dportou --sport. Ces options sont répertoriées dans iptables-extensions(8)la section multiport, tcp, udp et ailleurs. Cela pourrait vous intéresser.

Pour "arrêter Internet sur votre système", vous pouvez probablement simplement désactiver l'interface réseau avec sudo ifdown <INTERNET FACING INTERFACE>ou sudo ip link set <INTERNET FACING INTERFACE> downpar exemple sudo ip link set eth0 down. Pour rendre cela permanent, vous devez jeter un œil dans / etc / network / interfaces (Ubuntu, Debian ...) ou / etc / sysconfig / network-scripts / ifcfg- (sur RHEL, SLES, CentOS, Oracle Linux, Fedora ...) ou votre configuration de gestionnaire de réseau ou toute autre chose que vous utilisez. Bien sûr, cela coupera toutes les connexions vers ou depuis "Internet", même celles qui ne sont pas basées sur HTTP, et empêchera le léger impact sur les performances de l'utilisation iptableset du traitement du trafic de couche 2 OSI / ISO.

AdamKalisz
la source