Cancellare inserire rule facendo riferimento alla posizione numerica della regola
Vediamo come in pochi comandi è possibile inserire una nuova regola (rule)
o cancellarla. Infatti è bene ricordare che Iptables applica le
regole dall’alto verso il basso, pertanto è presumibile che l’ultima sia la cosiddetta
clean-up rule, ovvero “qualsiasi cosa verso qualsiasi cosa”
è bloccata. Solitamente per dare una occhiata delle regole si da il comando iptables -L
che però si limita a mostrare le regole senza offrire un riferimento preciso. Siccome
il nostro intento è quello di cancellare o inserire una regola è necessario poter
operare con assoluta certezza. Lo potremo fare attraverso la numerazione delle regole. E’
abbastanza probabile che il Firewall sia diviso in chain (catene) suddivise in INPUT
e OUTPUT. Con l’esempio sottostante andremo a numerare tutte le regole della chain
INPUT.
iptables -L INPUT --line-numbers
|
Dall’output che ne deriva possiamo identificare con certezza la regola che volevamo
eliminare, ad esempio la numero 10.
Viceversa è probabile che ne vogliamo inserire una nuova, magari proprio tra due
esistenti, ovvero tra la 9 e la 10.
iptables -I INPUT 10 -m state --state NEW -m tcp -p tcp --dport
8080 -j ACCEPT
|
Con questo comando andremo a creare una regola sulla chain INPUT, con il numero
10 (quindi la decima esistente diventerà la undicesima) dichiarandola come nuova (–state
NEW).
Inibire il protocollo ICMP (per il PING) su un interfaccia di rete
supposto che la nostra interfaccia di rete si chiami eth0 il comando è il seguente
iptables -A
INPUT -p icmp -i eth0 -j DROP
Si suppone che la scheda sull'interfaccia RED sia eth0
supposto che la nostra interfaccia di rete si chiami eth0 il comando è il seguente
iptables -A
INPUT -p icmp -i eth0 --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
iptables -A INPUT -p icmp -i eth0 --icmp-type echo-request -j DROP