1つのネットワークインターフェイスを介してすべての着信要求をブロックする方法は?
LANサーバーからWANサーバーへのルーターとしてLinuxサーバーがあるとします。着信WAN安全上の問題によるリクエストは必要ありません。WANインターフェースを介してすべての着信リクエストをブロックする必要がありますが、制限はしません。 LANユーザーの通常のインターネット活動?
どのアプリケーションを使用すればよいですか? (iptables?)。着信トラフィックをすべてシャットダウンすると、どのサービスが中断されますか?
WAN(またはインターネット)からのすべての着信トラフィックをブロックしたい場合は、次のようなルールを追加するだけです。
$ iptables -A INPUT -i eth0 -j DROP
eth0は、WANインターフェースです。これは、すべての着信トラフィックをブロックするのに十分です。ただし、すべての関連/確立された接続がWAN /インターネットから何らかのサービスを要求できるようにする必要があります。したがって、 、次のようなルールが必要です。
$ iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
もちろん、ACCEPTルールはDROPルールの前に追加する必要があります。これを行うと、ネットワーク内でサービスをホストできなくなります。
iptables -A FORWARD -i eth0 -j DROP
着信トラフィックをブロックしません。 INPUTチェーンにルールを追加する必要がありますe.g。:
iptables -A INPUT -i eth0 -j DROP