IP-Adressen sperren

Grundlegendes

In manchen Szenarien ist es notwendig, eine IP-Adresse zu sperren. Das Netzwerktool iptables bietet hierfür eine Reihe von Möglichkeiten.

Die Beispiele auf dieser Seite zeigen, wie eine IP-Adresse oder einzelne Dienste zu einer IP-Adresse gesperrt werden können.

iptables installieren

Auf dem Betriebssystem muss iptables installiert sein. Während bei Fedora und CentOS
iptables bereits vorinstalliert ist, müssen Sie es unter Ubuntu zunächst installieren. Die
Installation von iptables starten Sie mit dem folgenden Befehl:

 

# apt-get install iptables

Parameter

Das Programm iptables kann mit einer Reihe von Parametern aufgerufen werden – Details erfahren Sie mittels man iptables. Die wichtigsten Parameter lauten:

ParameterBeschreibung
-AHinzufügen einer Regel an das bestehende Regelwerk
-PModifizieren einer bestehenden Regel
-LAuflistung der Regeln
-FLöschung aller Regeln, die bisher konfiguriert wurden
-sdie Quelle eines Datenpakets - hier eine IP-Adresse
-ddas Ziel eines Datenpakets - ebenfalls eine IP-Adresse
INPUTSteht für den eingehenden Datenverkehr.
OUTPUTSteht für den ausgehenden Datenverkehr.
dportBeschreibt den Zielport ("destination port") eines Datenpakets.
sportBeschreibt den Quellport ("source port") eines Datenpakets.
DROPBedeutet, dass ein Datenpaket, das auf eine entsprechende Regel zutrifft, sofort verworfen wird.
REJECTBedeutet, dass das zutreffende Paket zurückgewiesen wird.
ACCEPTBedeutet, dass ein zutreffendes Paket akzeptiert wird.

Beispiele

Eine IP-Adresse für eingehende Datenpakete sperren

In diesem Beispiel sollen sämtliche Datenpakete, die von der IP-Adresse 1.2.3.4 ausgehen, verworfen werden. Dadurch erhält diese IP-Adresse dann fortan nur noch Verbindungstimeouts. Der Befehl eignet sich, um eine einzelne IP-Adresse zu sperren:

 

# iptables -A INPUT -s 1.2.3.4 -j DROP

Einen Adressbereich für eingehende Verbindungen sperren

Verwenden Sie den folgenden Befehl, um einen ganzen Netzadressbereich zu sperren – in diesem Beispiel werden alle IP-Adressen gesperrt, die sich zwischen 1.2.3.0 und 1.2.3.255 befinden:

 

# iptables -A INPUT -s 1.2.3.0/24 -j DROP

Eine IP-Adresse für ausgehende Datenpakete sperren

Manchmal ist es notwendig, den Zugriff seines Systems auf externe Systeme zu beschränken. Folgender Befehl bewirkt, dass die Applikationen Ihres Servers nicht mehr auf die IP-Adresse 1.2.3.4 zugreifen können:

 

# iptables -A OUTPUT -s 1.2.3.4 -j DROP

Einen Adressbereich für ausgehende Verbindungen sperren

Mit folgendem Befehl sperren Sie einen ganzen Netzadressbereich für ausgehende Verbindungen – in diesem Beispiel wird der Zugriff auf die IP-Adressen 1.2.3.0 bis 1.2.3.255 gesperrt:

 

# iptables -A OUTPUT -s 1.2.3.0/24 -j DROP

Zugriffe auf einzelne Ports sperren

Durch den folgenden Befehl wäre es fortan nicht mehr möglich, auf den SMTP-Port Ihres Servers zuzugreifen. Dabei würden alle Zugriffsversuche auf den Port 25 konsequent abgeblockt:

 

# iptables -A INPUT -p tcp --dport 25 -j DROP

 

Im folgenden Beispiel wird der Zugriff auf den Port 25 auf fremden Systemen beschränkt. So wäre es nicht mehr möglich, E-Mails an fremde Systeme zu versenden:

 

# iptables -A OUTPUT -p tcp --dport 25 -j DROP

Geben sie uns Ihr Feedback

Das freut uns und wir haben Ihre positive Rückmeldung vermerkt. Wenn Sie möchten, teilen Sie uns gerne noch Details mit: Was hat Ihnen besonders gefallen? Welche Informationen waren besonders hilfreich?

Leider können wir Ihr Feedback nicht direkt beantworten, wir verwenden es jedoch, um die FAQ weiterzuentwickeln und zu verbessern. Wir freuen uns auf Ihre Antwort!

Geben sie uns Ihr Feedback

Es tut uns leid, dass Sie mit den FAQ nicht zufrieden sind. Welche Information vermissen Sie? Was können wir besser machen?

Leider können wir Ihr Feedback nicht direkt beantworten, wir verwenden es jedoch, um die FAQ weiterzuentwickeln und zu verbessern. Wir freuen uns auf Ihre Antwort!

nach oben

Bitte haben Sie einen Moment Geduld. Die Seite wird geladen.