iptables - конфигурация маршрутизатора
У меня есть маршрутизатор, для которого я настраиваю настройки. Я хочу только позволить SSH от внутренней сети и отбросить все остальное.
Это - то, что я имею до сих пор. Я попробовал его, и я должен был сбросить свой маршрутизатор для соединения с ним снова, таким образом, я думаю, что пропускаю что-то:
iptables -F INPUT
iptables -t filter -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT --destination 127.0.0.1 -i lo -j ACCEPT
iptables -t filter -A INPUT -s 192.168.11.0/24 --protocol tcp --dport $SSH_PORT -j ACCEPT
iptables -t filter -P INPUT DROP
iptables -F FORWARD
iptables -t filter -A FORWARD -s 192.168.11.0/24 --protocol tcp -j ACCEPT
iptables -t filter -P FORWARD DROP
iptables -F OUTPUT
Это - хорошая начальная точка?
2 ответа
После обзора и использовавший эти правила больше месяца, я думаю, что довольно безопасно сказать работу правил. Я использую-P для установки значения по умолчанию политики. Я предпочитаю, чтобы ОТБРАСЫВАНИЕ ОТКЛОНИЛО, поскольку оно использует меньше ресурсов и говорит потенциальному взломщику меньше информации.
Walter
Не уверенный, почему у Вас есть-P там.
Вот то, как я сделал бы это:
iptables -F INPUT
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT --destination 127.0.0.1 -i lo -j ACCEPT
iptables -t filter -A INPUT -s 192.168.11.0/24 -m tcp -p tcp --dport $SSH_PORT -j ACCEPT
iptables -t filter -A INPUT -j REJECT --reject-with-icmp-host-prohibited
Вы не должны использовать вперед цепочка, но если это - сценарий, необходимо все еще сделать сброс всех цепочек сначала.
Можно принять решение использовать ОТБРАСЫВАНИЕ вместо ОТКЛОНЕНИЯ в последней строке, если Вы хотите.