прочитал мануал (100стр) и 2 статьи с сайта gentoo про скрипт под iptbales. я хотел настроить iptables через rules-save, а не через /etc/firewall.sh
вопрос:
1) насколько эти 2 команды соответствуют друг другу?
там ли я правлю или мне надо где-то еще ковырятся ?
2) какие мне правила надо ввести,чтобы блокировать всё,но открыть доступ для одноого ip и потом разрешать потихоньку. я хочу удаленно по ssh это делать,но при этом не обрубить коннект
Код: Выделить всё
$iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- 10.0.3.0/24 anywhere tcp dpt:20003
ACCEPT all -- server.vodoline.loc anywhere
ACCEPT all -- 10.0.3.3 anywhere
ACCEPT all -- anywhere 10.0.3.0/24 state RELATED,ESTABLISHED
ACCEPT icmp -- 10.0.3.0/24 anywhere
ACCEPT tcp -- 10.0.3.0/24 anywhere tcp dpt:https
ACCEPT tcp -- 10.0.3.0/24 anywhere tcp dpt:aol
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
а вот в /var/lib/iptables/rules-save
Код: Выделить всё
# Generated by iptables-save v1.2.11 on Tue May 10 08:06:58 20ccept all from localhost
-A INPUT -s 127.0.0.1 -j ACCEPT
# accept all previously established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT
# ssh
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
# ftp / webserver related
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 5190 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dpoer 110 -j ACCEPT
# Windows / Samba
-A INPUT -p tcp -m state --state NEW -m tcp --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 426 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
# up to 5 Bit-torrent connections
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6881:6886 -j ACCEPT
# reject everything else
-A INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT