Megpróbáltam az INPUT és OUTPUT láncokat egyszerűsíteni.
Az eredmény:
#!/bin/sh
# Home standalone gép.
# A lánc kiürítése.
iptables -F
###############
# Alap policy #
###############
# Mindent tiltunk, amit külön nem engedélyezünk.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
# FORWARD most nem kell, de lehetőségként itt hagyjuk.
#iptables -P FORWARD DROP
###################
# INPUT szabályok #
###################
# loopback engedélyezése
iptables -A INPUT -i lo -j ACCEPT
# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT
# Invalid sync bites csomagok kiszórása.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# ssh engedélyezése - majd ha kell. Most még nem kell.
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# A hamis IP címeket kiszűrjük.
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
# Kiegészítés paranoidoknak (by mavo)
iptables -A INPUT -i eth0 -s 255.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 0.0.0.0/8 -j DROP
# Pingelés tiltása.
iptables -A INPUT -i eth0 -p icmp -j DROP
# Vagy ez jobb?
# iptables -A INPUT -p icmp -m state -state ESTABLISHED,RELATED -j ACCEPT
####################
# OUTPUT szabályok #
####################
# A loopback-en engedélyezzük a forgalmat.
iptables -A OUTPUT -o lo -j ACCEPT
# Jóváhagyott kapcsolatok engedélyezése.
#A szükséges portokat az alábbiakban engedélyezem... tehát nem tudom, hogy ez a sor kell-e?
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Egy kis magyarázat a következő sorokhoz:
# 20 port - FTP
# 21 port - FTP
# 22 port - SSH
# 25 port - SMTP
# 53 port - DNS
# 80 port - HTTP
# 110 port - POP
# 443 port - HTTPS
# 465 port - SMTPS
# 995 port - POPS
# 1863 port - GAIM (az MSN-hez)
# 36013 port - SKYPE
iptables -A OUTPUT -i eth0 -p tcp -m multiport --dports 20,21,22,25,53,80,110,443,465,995,1863,36013 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -i eth0 -p udp -m multiport --dports 20,21,22,25,53,443, -m state --state NEW,ESTABLISHED -j ACCEPT
# A kifelé menő ping-re szükség lehet.
iptables -A OUTPUT -p icmp -j ACCEPT --icmp-type echo-request
# vagy...?
iptables -A OUTPUT -p icmp -m state -state NEW,ESTABLISHED,RELATED -j ACCEPT
A felvetett kérdésekre a választ keresem, ha megtalálom, akkor javítom, kiegészítem a fentieket.A log-ról később, külön.
SP
Utolsó kommentek