Я хочу остановить интернет в моей системе, используя iptables, что мне делать?
iptables -A INPUT -p tcp --sport 80 -j DROP
или
iptables -A INPUT -p tcp --dport 80 -j DROP ?
Я хочу остановить интернет в моей системе, используя iptables, что мне делать?
iptables -A INPUT -p tcp --sport 80 -j DROP
или
iptables -A INPUT -p tcp --dport 80 -j DROP ?
Ответы:
На самом деле вы задаете 2 разных вопроса.
--sport коротка для --source-port
--dport коротка для --destination-port
Кроме того, Интернет - это не просто HTTPпротокол, который обычно работает на порте 80. Я подозреваю, что вы спрашиваете, как блокировать HTTP-запросы. Для этого вам нужно заблокировать 80 в исходящей цепочке.
iptables -A OUTPUT -p tcp --dport 80 -j DROP
заблокирует все исходящие HTTP-запросы, перейдя на порт 80, так что это не будет блокировать SSL, 8080 (alt http) или любые другие странные порты, для того, чтобы делать такие вещи, вам нужна фильтрация L7 с гораздо более глубокой проверкой пакетов.
Просто чтобы расширить ответ @xenoterracide Вы можете узнать больше о iptables на странице руководства iptables(8)(тип man 8 iptables), но там вы не найдете --dportили --sport. Эти параметры перечислены в iptables-extensions(8)разделе multiport, tcp, udp и в других местах. Это может быть интересно для вас.
Чтобы «остановить интернет в вашей системе», вы, вероятно, можете просто отключить сетевой интерфейс с помощью sudo ifdown <INTERNET FACING INTERFACE>или, sudo ip link set <INTERNET FACING INTERFACE> downнапример sudo ip link set eth0 down. Чтобы сделать это постоянным, вам нужно взглянуть на / etc / network / interfaces (Ubuntu, Debian ...) или / etc / sysconfig / network-scripts / ifcfg- (на RHEL, SLES, CentOS, Oracle Linux, Fedora ...) или ваш сетевой менеджер конфигурации или что-то еще, что вы используете. Это, конечно, обрежет любые подключения к или из «Интернета», даже не основанные на HTTP, и предотвратит небольшое снижение производительности при использовании iptablesи обработке трафика OSI / ISO уровня 2.