- Bestellen
- Providerwechsel
- Rechnung & Vertrag
- Service & Infos
- Domains
- Homepage-Baukasten
- ManagedHosting & ManagedServer
- Webhosting & Webhosting Plus
- CloudServer
- SSL-Zertifikate
- Microsoft 365
- Reseller
- Sucuri Website Security
- Managed Wordpress
- Aktuelles
IP-Adressen sperren
Alle ausklappen
Alle einklappen
Grundlegendes
In manchen Szenarien ist es notwendig, eine IP-Adresse zu sperren. Das Netzwerktool iptables bietet hierfür eine Reihe von Möglichkeiten.
Die Beispiele auf dieser Seite zeigen, wie eine IP-Adresse oder einzelne Dienste zu einer IP-Adresse gesperrt werden können.
iptables installieren
Auf dem Betriebssystem muss iptables installiert sein. Während bei Fedora und CentOS
iptables bereits vorinstalliert ist, müssen Sie es unter Ubuntu zunächst installieren. Die
Installation von iptables starten Sie mit dem folgenden Befehl:
# apt-get install iptables
Parameter
Das Programm iptables kann mit einer Reihe von Parametern aufgerufen werden – Details erfahren Sie mittels man iptables. Die wichtigsten Parameter lauten:
Parameter | Beschreibung |
---|---|
-A | Hinzufügen einer Regel an das bestehende Regelwerk |
-P | Modifizieren einer bestehenden Regel |
-L | Auflistung der Regeln |
-F | Löschung aller Regeln, die bisher konfiguriert wurden |
-s | die Quelle eines Datenpakets - hier eine IP-Adresse |
-d | das Ziel eines Datenpakets - ebenfalls eine IP-Adresse |
INPUT | Steht für den eingehenden Datenverkehr. |
OUTPUT | Steht für den ausgehenden Datenverkehr. |
dport | Beschreibt den Zielport ("destination port") eines Datenpakets. |
sport | Beschreibt den Quellport ("source port") eines Datenpakets. |
DROP | Bedeutet, dass ein Datenpaket, das auf eine entsprechende Regel zutrifft, sofort verworfen wird. |
REJECT | Bedeutet, dass das zutreffende Paket zurückgewiesen wird. |
ACCEPT | Bedeutet, dass ein zutreffendes Paket akzeptiert wird. |
Beispiele
Eine IP-Adresse für eingehende Datenpakete sperren
In diesem Beispiel sollen sämtliche Datenpakete, die von der IP-Adresse 1.2.3.4 ausgehen, verworfen werden. Dadurch erhält diese IP-Adresse dann fortan nur noch Verbindungstimeouts. Der Befehl eignet sich, um eine einzelne IP-Adresse zu sperren:
# iptables -A INPUT -s 1.2.3.4 -j DROP
Einen Adressbereich für eingehende Verbindungen sperren
Verwenden Sie den folgenden Befehl, um einen ganzen Netzadressbereich zu sperren – in diesem Beispiel werden alle IP-Adressen gesperrt, die sich zwischen 1.2.3.0 und 1.2.3.255 befinden:
# iptables -A INPUT -s 1.2.3.0/24 -j DROP
Eine IP-Adresse für ausgehende Datenpakete sperren
Manchmal ist es notwendig, den Zugriff seines Systems auf externe Systeme zu beschränken. Folgender Befehl bewirkt, dass die Applikationen Ihres Servers nicht mehr auf die IP-Adresse 1.2.3.4 zugreifen können:
# iptables -A OUTPUT -s 1.2.3.4 -j DROP
Einen Adressbereich für ausgehende Verbindungen sperren
Mit folgendem Befehl sperren Sie einen ganzen Netzadressbereich für ausgehende Verbindungen – in diesem Beispiel wird der Zugriff auf die IP-Adressen 1.2.3.0 bis 1.2.3.255 gesperrt:
# iptables -A OUTPUT -s 1.2.3.0/24 -j DROP
Zugriffe auf einzelne Ports sperren
Durch den folgenden Befehl wäre es fortan nicht mehr möglich, auf den SMTP-Port Ihres Servers zuzugreifen. Dabei würden alle Zugriffsversuche auf den Port 25 konsequent abgeblockt:
# iptables -A INPUT -p tcp --dport 25 -j DROP
Im folgenden Beispiel wird der Zugriff auf den Port 25 auf fremden Systemen beschränkt. So wäre es nicht mehr möglich, E-Mails an fremde Systeme zu versenden:
# iptables -A OUTPUT -p tcp --dport 25 -j DROP