iptables를 사용하여 내 시스템에서 인터넷을 중지하고 싶습니다. 어떻게 해야 합니까?
iptables -A INPUT -p tcp --sport 80 -j DROP
또는
iptables -A INPUT -p tcp --dport 80 -j DROP?
답변1
실제로는 두 가지 다른 질문을 하셨다는 것입니다.
--sport은 약어이다--source-port--dport은 약어이다--destination-port
HTTP게다가 인터넷은 일반적으로 포트 80에서 실행되는 프로토콜에 관한 것이 아닙니다 . HTTP 요청을 차단하는 방법을 묻는 것 같습니다. 이렇게 하려면 아웃바운드 체인에서 80을 차단해야 합니다.
iptables -A OUTPUT -p tcp --dport 80 -j DROP
포트 80으로 가는 모든 아웃바운드 HTTP 요청을 차단하므로 L7 필터링 및 심층 패킷 검사가 필요한 작업을 수행하기 위해 SSL, 8080(alt http) 또는 기타 이상한 포트를 차단하지 않습니다.
답변2
@xenoterracide의 답변을 확장하기 위해 맨페이지에서 iptables에 대한 자세한 내용을 읽을 수 있지만 iptables(8)(입력 man 8 iptables) 거기에서는 찾을 수 --dport없습니다 --sport. 이러한 옵션은 iptables-extensions(8)다중 포트, tcp, udp 및 기타 섹션에 나열되어 있습니다. 관심을 가질 수도 있습니다.
sudo ifdown <INTERNET FACING INTERFACE>"시스템에서 인터넷을 중지"하려면 sudo ip link set <INTERNET FACING INTERFACE> down네트워크 인터페이스를 사용하거나 닫을 수 있습니다 sudo ip link set eth0 down. 영구적으로 만들려면 /etc/network/interfaces (Ubuntu, Debian...) 또는 /etc/sysconfig/network-scripts/ifcfg - (RHEL, SLES, CentOS, Oracle Linux, Fedora)을 확인해야 합니다. .) 또는 네트워크 관리자 구성 또는 기타 사용하는 모든 것. 물론 이는 HTTP 기반이 아닌 연결을 포함한 "인터넷"에 대한 모든 연결을 차단하고 iptablesOSI/ISO 레이어 2 트래픽의 사용 및 처리로 인해 약간의 성능 저하가 발생하는 것을 방지합니다.