мои iptables не работают и не блокируют IP

Question 1

мой iptables не работает и делает не блокирующийся IP

я пытаюсь заблокировать этот IP 66.85.48.9 использование этого управляет

iptables -I INPUT -s 66.85.48.9 -j DROP
iptables -I INPUT -d 66.85.48.9 -j DROP

но когда я проверяю с помощью ping-запросов свой IP сервер от той IP машины, я получил ответ, не приведенный к таймауту

и это мое сервисное состояние

root@vmi:~# service --status-all
 [ + ]  acpid
 [ - ]  anacron
 [ + ]  apache2
 [ + ]  apparmor
 [ ? ]  apport
 [ + ]  avahi-daemon
 [ + ]  bluetooth
 [ ? ]  console-setup
 [ + ]  cron
 [ + ]  cups
 [ + ]  cups-browsed
 [ - ]  dbus
 [ + ]  ddos
 [ ? ]  dns-clean
 [ - ]  fail2ban
 [ + ]  friendly-recovery
 [ + ]  gdm
 [ - ]  grub-common
 [ ? ]  irqbalance
 [ ? ]  killprocs
 [ ? ]  kmod
 [ ? ]  mysql
 [ ? ]  networking
 [ ? ]  ogp_agent
 [ ? ]  ondemand
 [ - ]  openbsd-inetd
 [ - ]  postfix
 [ ? ]  pppd-dns
 [ - ]  procps
 [ - ]  psad
 [ - ]  pulseaudio
 [ + ]  pure-ftpd
 [ ? ]  rc.local
 [ + ]  resolvconf
 [ - ]  rsync
 [ + ]  rsyslog
 [ + ]  saned
 [ ? ]  screen-cleanup
 [ ? ]  sendsigs
 [ + ]  ssh
 [ - ]  sudo
 [ + ]  udev
 [ ? ]  umountfs
 [ ? ]  umountnfs.sh
 [ ? ]  umountroot
 [ - ]  unattended-upgrades
 [ - ]  urandom
 [ - ]  x11-common

Question 2

Ваши правила iptables работают и блокируют все порты для машины 66.85.48.9.

Вы можете проверить, заблокирован ли IP-адрес устройства, путем тестирования определенных служб и портов, таких как ssh для порта 22, ftp для порта 21 или telnet 66.85.48.9 80 для проверки порта веб-страницы по умолчанию. В команде telnet замените 66.85.48.9 на IP вашего IP-сервера.

Ваша команда не блокирует запрос ping. Используйте это правило, чтобы заблокировать запрос ping вашего другого компьютера:

$ sudo iptables -A INPUT -s 66.85.48.9 -p icmp -j DROP

Примечание :
Поскольку с вашего выхода вы работаете Apache2 , вы можете проверить, что доступ к if для машины 66.85.48.9 заблокирован вашим текущим правилом.

Правила предотвращения затопления udp

В этом примере вы можете заблокировать udp из всех источников, предоставляя доступ к нужному источнику, такому как ваш DNS-сервер ... в этом примере DNS-серверы Google разрешены. Используйте тот же метод, чтобы разрешить доступ с любого другого IP-адреса, который вы хотите разрешить.

# allow dns requests to google nameservers
iptables -A OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -d 8.8.4.4 -j ACCEPT


# block all other udp
iptables -A OUTPUT -p udp -j DROP
ip6tables -A OUTPUT -p udp -j DROP

L. D. James · Accepted Answer · 3 November 2019 в 12:01