(Próbálom tovább finomítani, egyszerűsíteni a szkriptemet...)
A pingeléssel kapcsolatban merült fel bennem a következő:
Ha van egy ilyen sor az INPUT lácban:
# Engedélyezzük befelé, ami tőlünk származik.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
akkor ez a sor:# Pingelés tiltása
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
talán nem is kell. (?) Ez a pingelés sor nem arra vonatkozik, hogy az általam kezdeményezett pingre visszaérkező választ beengedjem, de a külső pingeket letiltsam? Mert ha igen, akkor a fenti általános ESTABLISHED,RELATED is ezt teszi. Akkorminek külön tiltani?
A következő kérdés: DHCP kell?
#DHCP
iptables -A INPUT -i etho -p tcp --sport 68 -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 68 -j ACCEPT
(Úgy tűnik igen, de hogy miért azt még nem értem.)És egy kiegészítés:
# A fragmented csomagok szűrése
iptables -A INPUT -f -i eth0 -j DROP
Hogy ne legyen a log mérete szükségtelenül nagy, foglalkozni kell a limit és level kapcsolókkal is.# INPUT Log
iptables -A INPUT -m limit --limit 10/minute -j LOG --log-level 3 --log-prefix "INPUT_probe"
...valahogy így. A kérdés csak az, hogy a 10/minute és a level 3 elég-e/jó-e? Valamint annak is utána kell nézni, hogy lehet-e így egymásra halmozni a limit, a level és a log-prefix kapcsolókat? Ezt még nem írom be a szkriptbe, előbb utánanézek.
A finomítás után így néz ki a jelenlegi tűzfal szkript.
(Jövő héten letesztelem)
SP
Utolsó kommentek