Ich möchte das Internet auf meinem System mithilfe von iptables stoppen. Was soll ich also tun?
iptables -A INPUT -p tcp --sport 80 -j DROP
oder
iptables -A INPUT -p tcp --dport 80 -j DROP
?
In Wirklichkeit stellen Sie zwei verschiedene Fragen.
--sport
Kurzform für --source-port
--dport
Kurzform für --destination-port
Auch das Internet ist nicht einfach das HTTP
Protokoll, das normalerweise auf Port 80 ausgeführt wird. Ich vermute, Sie fragen, wie HTTP-Anforderungen blockiert werden sollen. Dazu müssen Sie 80 in der ausgehenden Kette blockieren.
iptables -A OUTPUT -p tcp --dport 80 -j DROP
blockiert alle ausgehenden HTTP-Anforderungen, die an Port 80 gehen, sodass SSL, 8080 (alt http) oder andere seltsame Ports nicht blockiert werden, um die Art von Dingen auszuführen, die Sie für die L7-Filterung mit einer viel tieferen Paketinspektion benötigen.
Nur um die Antwort von @xenoterracide zu erweitern Sie können mehr über iptables in der Manpage iptables(8)
(Typ man 8 iptables
) lesen, aber dort finden Sie nicht --dport
oder --sport
. Diese Optionen sind im iptables-extensions(8)
Abschnitt Multiport, TCP, UDP und an anderer Stelle aufgeführt. Das könnte für Sie interessant sein.
Um "das Internet auf Ihrem System zu stoppen", können Sie wahrscheinlich einfach die Netzwerkschnittstelle mit sudo ifdown <INTERNET FACING INTERFACE>
oder sudo ip link set <INTERNET FACING INTERFACE> down
zum Beispiel ausschalten sudo ip link set eth0 down
. Um dies dauerhaft zu machen, müssen Sie in / etc / network / interfaces (Ubuntu, Debian ...) oder / etc / sysconfig / network-scripts / ifcfg- (unter RHEL, SLES, CentOS, Oracle Linux, Fedora) nachsehen ...) oder Ihre Netzwerk-Manager-Konfiguration oder alles andere, was Sie verwenden. Dies unterbricht natürlich alle Verbindungen zum oder vom "Internet", auch die nicht HTTP-basierten, und verhindert den leichten Leistungseinbruch bei der Verwendung iptables
und Verarbeitung von OSI / ISO-Layer-2-Verkehr.