iptables -A INPUT -p icmp -j DROP
Denegar el ping sólo a un host:
iptables -A INPUT -p icmp -s 192.168.1.155 -j DROP
Si lo que queremos es que no podamos hacer ping desde nuestra máquina:
iptables -A OUTPUT -p icmp -j DROP
Igual pero a una IP concreta:
iptables -A OUTPUT -p icmp -s 192.168.1.155 -j DROP
No tener ping a una IP pero que dicha IP no lo tenga:
Para cortar internet pero que nos puedan hacer ping:
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
(hay otra opción, que es activando DNS)
Tener ping sólo con la mitad de la clase:
iptables -A INPUT -s 192.168.x.x -p icmp -j ACCEPT
...
copy paste...
=========================
Cortar ssh y telnet a todos los host menos a uno y hacer la prueba con el vecino:
iptables -A INPUT -s 192.168.1.157 -p tcp --dport 22:23 -j ACCEPT
iptables -A INPUT -p tcp --dport 22:23 -j DROP
Para probarlo nos vamos a otra máquina y ponemos ssh rafakatu@192.168.1.55, siendo esta IP la de nuestro equipo. Para denegarlo en lugar de admitirlo:
iptables -A INPUT -s 192.168.1.157 -p tcp --dport 22:23 -j DROP
=========================
Para hacer pruebas con FTP lo suyo es probarlo con un servidor FTP, como es proftpd:
apt-get install proftpd
proftpd
/etc/init.d/proftpd startCortar nuestro FTP a un usuario concreto:
iptables -A INPUT -s 192.168.1.157 -p tcp --dport 20:21 -j DROP
ó
iptables -A INPUT -s 192.168.1.157 -p ftp --dport 20:21 -j DROP
ó
iptables -A INPUT -s 192.168.1.157 -p ftp --dport 20:21 -j DROP
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
Aceptar conexiones externas a nuestro FTP sólo de un host:
iptables -A INPUT -s 192.168.1.157 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j DROP
=========================
Cortar internet seguro pero no el normal
iptables -A INPUT -p tcp --dport 443 -j DROP
Cortar dns, probad con nslookup y con la nevegacion a través de IP
iptables -A INPUT -p udp --sport 53 -j DROP
Más configuraciones de Firewall
Proteger servidor con IPTables
No hay comentarios:
Publicar un comentario