Az OUTPUT lánc első változata:
####################
# OUTPUT szabályok #
####################
# A loopback-en engedélyezzük a forgalmat.
iptables -A OUTPUT -o lo -j ACCEPT
# jóváhagyott kapcsolatok engedélyezése.
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Az ftp mehet
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
# Az ssh majd mehet, most még nem.
# iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -p udp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# Ha levelező klienst is használunk.
# smtp
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
# pop
iptables -A OUTPUT -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
# A DNS-re szükség van.
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
# A http mehet.
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# A https mehet
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
# Gmail-t is használok.
# smtps
iptables -A OUTPUT -p tcp --dport 465 -m state --state NEW,ESTABLISHED -j ACCEPT
# pops
iptables -A OUTPUT -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
# gaim az MSN-hez, mert a keresztfiam csak ezt szereti... :-)
iptables -A OUTPUT -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT
# Skype, csak a biztonság kedvéért, mert nem biztos, hogy megtalálja a 80-a portot.
iptables -A OUTPUT -p tcp --dport 36013 -m state --state NEW,ESTABLISHED -j ACCEPT
# A kifelé menő ping-re szükség lehet.
iptables -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request
Nyitott kérdések, amiknek még utána kell járnom:1. tcp / udp melyik és mikor? Vagy mind a kettő kell?
2. INPUT ESTABLISHED,RELATED sor (piros) kell?
3. iptables -A OUTPUT -f -d eth0 -j DROP kell?
4. iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP ???
5. DNS-re szükség van?
6. egyéb?
7. -m state --state NEW,ESTABLISHED kell, vagy enélkül is jó?
Most pedig gondolkodás és elemzés következik.
SP
Utolsó kommentek