Was ist Sport und Sport?

Ich möchte das Internet auf meinem System mithilfe von iptables stoppen. Was soll ich also tun?

iptables -A INPUT -p tcp --sport 80 -j DROP

oder

iptables -A INPUT -p tcp --dport 80 -j DROP ?

In Wirklichkeit stellen Sie zwei verschiedene Fragen.

• --sport Kurzform für --source-port

• --dport Kurzform für --destination-port

Auch das Internet ist nicht einfach das HTTPProtokoll, das normalerweise auf Port 80 ausgeführt wird. Ich vermute, Sie fragen, wie HTTP-Anforderungen blockiert werden sollen. Dazu müssen Sie 80 in der ausgehenden Kette blockieren.

iptables -A OUTPUT -p tcp --dport 80 -j DROP

blockiert alle ausgehenden HTTP-Anforderungen, die an Port 80 gehen, sodass SSL, 8080 (alt http) oder andere seltsame Ports nicht blockiert werden, um die Art von Dingen auszuführen, die Sie für die L7-Filterung mit einer viel tieferen Paketinspektion benötigen.

Nur um die Antwort von @xenoterracide zu erweitern Sie können mehr über iptables in der Manpage iptables(8)(Typ man 8 iptables) lesen, aber dort finden Sie nicht --dportoder --sport. Diese Optionen sind im iptables-extensions(8)Abschnitt Multiport, TCP, UDP und an anderer Stelle aufgeführt. Das könnte für Sie interessant sein.

Um "das Internet auf Ihrem System zu stoppen", können Sie wahrscheinlich einfach die Netzwerkschnittstelle mit sudo ifdown <INTERNET FACING INTERFACE>oder sudo ip link set <INTERNET FACING INTERFACE> downzum Beispiel ausschalten sudo ip link set eth0 down. Um dies dauerhaft zu machen, müssen Sie in / etc / network / interfaces (Ubuntu, Debian ...) oder / etc / sysconfig / network-scripts / ifcfg- (unter RHEL, SLES, CentOS, Oracle Linux, Fedora) nachsehen ...) oder Ihre Netzwerk-Manager-Konfiguration oder alles andere, was Sie verwenden. Dies unterbricht natürlich alle Verbindungen zum oder vom "Internet", auch die nicht HTTP-basierten, und verhindert den leichten Leistungseinbruch bei der Verwendung iptablesund Verarbeitung von OSI / ISO-Layer-2-Verkehr.