мой iptables
не работает и делает не блокирующийся IP
я пытаюсь заблокировать этот IP 66.85.48.9
использование этого управляет
iptables -I INPUT -s 66.85.48.9 -j DROP
iptables -I INPUT -d 66.85.48.9 -j DROP
но когда я проверяю с помощью ping-запросов свой IP сервер от той IP машины, я получил ответ, не приведенный к таймауту
и это мое сервисное состояние
root@vmi:~# service --status-all
[ + ] acpid
[ - ] anacron
[ + ] apache2
[ + ] apparmor
[ ? ] apport
[ + ] avahi-daemon
[ + ] bluetooth
[ ? ] console-setup
[ + ] cron
[ + ] cups
[ + ] cups-browsed
[ - ] dbus
[ + ] ddos
[ ? ] dns-clean
[ - ] fail2ban
[ + ] friendly-recovery
[ + ] gdm
[ - ] grub-common
[ ? ] irqbalance
[ ? ] killprocs
[ ? ] kmod
[ ? ] mysql
[ ? ] networking
[ ? ] ogp_agent
[ ? ] ondemand
[ - ] openbsd-inetd
[ - ] postfix
[ ? ] pppd-dns
[ - ] procps
[ - ] psad
[ - ] pulseaudio
[ + ] pure-ftpd
[ ? ] rc.local
[ + ] resolvconf
[ - ] rsync
[ + ] rsyslog
[ + ] saned
[ ? ] screen-cleanup
[ ? ] sendsigs
[ + ] ssh
[ - ] sudo
[ + ] udev
[ ? ] umountfs
[ ? ] umountnfs.sh
[ ? ] umountroot
[ - ] unattended-upgrades
[ - ] urandom
[ - ] x11-common
Ваши правила iptables работают и блокируют все порты для машины 66.85.48.9
.
Вы можете проверить, заблокирован ли IP-адрес устройства, путем тестирования определенных служб и портов, таких как ssh
для порта 22
, ftp
для порта 21
или telnet 66.85.48.9 80
для проверки порта веб-страницы по умолчанию. В команде telnet замените 66.85.48.9
на IP вашего IP-сервера.
Ваша команда не блокирует запрос ping. Используйте это правило, чтобы заблокировать запрос ping вашего другого компьютера:
$ sudo iptables -A INPUT -s 66.85.48.9 -p icmp -j DROP
Примечание :
Поскольку с вашего выхода вы работаете Apache2 , вы можете проверить, что доступ к if для машины 66.85.48.9 заблокирован вашим текущим правилом.
Правила предотвращения затопления udp
В этом примере вы можете заблокировать udp из всех источников, предоставляя доступ к нужному источнику, такому как ваш DNS-сервер ... в этом примере DNS-серверы Google разрешены. Используйте тот же метод, чтобы разрешить доступ с любого другого IP-адреса, который вы хотите разрешить.
# allow dns requests to google nameservers
iptables -A OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -d 8.8.4.4 -j ACCEPT
# block all other udp
iptables -A OUTPUT -p udp -j DROP
ip6tables -A OUTPUT -p udp -j DROP