Статистика всех правил iptables и счетчики обработанных пакетов
iptables -L -n -v
Блокировка ip-адресов
Часто возникает задача блокирования ip-адресов. Например, вы заметили, что IP 11.22.121.122 постоянно пытается атаковать ваш сервер, и вы хотите его заблокировать. Нужно просто заблокировать все входящие пакеты с этого IP-адреса. Чтобы это сделать, нужно добавить следующее правило в цепочку INPUT таблицы filter. В примере имя таблицы указано явно, без использования ключа t правило попадает в таблицу по умолчанию:
iptables -t filter -A INPUT -s 11.22.121.122 -j REJECT
Здесь:
- t — указывает, в какую таблицу будет входить правило;
- A — указывает на добавление (Append) правила в цепочку INPUT;
- s — указывает источник;
- j — указывает iptables на отклонение трафика с помощью цели REJECT.
Также можете блокировать диапазоны IP-адресов, используя CIDR-нотацию. Если необходимо заблокировать все IP-адреса от 11.22.121.0 до 11.22.121.255, это можно сделать с помощью команды:
iptables -A INPUT -s 11.22.121.0/24 -j REJECT
Если необходимо заблокировать исходящий трафик на конкретный ip, используется цепочка OUTPUT и флаг -d для указания ip-адреса назначения:
iptables -A OUTPUT -d 31.13.78.35 -j DROP
Удаление правил
Теперь, скажем, вы заблокировали IP-адрес 11.22.121.0/24 по ошибке. Чтобы удалить существующее правило используйте команду:
iptables -D INPUT -s 11.22.121.0/24 -j REJECT
Здесь ключ -D (Drop) означает удаление правила из цепочки.
Также можно удалять правила по номерам строк. Если вы хотите удалить второе правило из цепочки INPUT, команда будет следующей:
iptables -D INPUT 2
Примечание: при удалении правил нумерация изменяется.
Также возможно удалить все правила цепочки — с помощью опции F:
iptables -F INPUT
comments powered by HyperComments