iptables. запретить все. разрешить исходящие. Все правильно?

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

jobfox
Сообщения: 142

iptables. запретить все. разрешить исходящие. Все правильно?

Сообщение jobfox »

Правила для ip tables. Необходимо заблокировать все, а разрешить только исходящие для клиентских приложений.
[b]Рабочая машина, не шлюз.[b]

---------------------------------------------------------------------------

БЛОКИРОВАТЬ ВСЕ.

# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP

ICMP
Разрешим прохождение служебных пакетов (вроде генерируемых командой ping, сообщений о недоступности хоста и т.п.).

# iptables -A INPUT -p ICMP -j ACCEPT
# iptables -A OUTPUT -p ICMP -j ACCEPT

ВХОДЯЩИЕ К НАМ, СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ.

# iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT


ИСХОДЯЩИЕ ДЛЯ КЛИЕНТСКИХ ПРИЛОЖЕНИЙ

# iptables -A OUTPUT -p TCP --sport 32768:65535 -j ACCEPT
# iptables -A OUTPUT -p UDP --sport 32768:65535 -j ACCEPT

---------------------------------------------------------------------------

Подскажите чего ещё нехватает для правильности и безопасности??? Пожалуйста.
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: iptables. запретить все. разрешить исходящие. Все правильно?

Сообщение Ленивая Бестолочь »

это шлюз или нет?
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:
Вернуться к началу
Аватара пользователя
mandreika
Сообщения: 217
ОС: Debian 3,4,5,6

Re: iptables. запретить все. разрешить исходящие. Все правильно?

Сообщение mandreika »

ОUTPUT означает исходящие пакеты сгенерированные самой машиной, т.е. движение пакетов из lo -> eth (Т.е. клиентские приложения находятся на этой машине?)

iptables -A OUTPUT -p TCP --sport 32768:65535 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 32768:65535 -j ACCEPT

ограничение портов слишком жестокое: по дефолту исход порт генерируется начиная с 1024 но можно вроде менять.

iptables -t filter -A OUTPUT -j ACCEPT
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Alex2ndr
Сообщения: 443
ОС: Debian Lenny

Re: iptables. запретить все. разрешить исходящие. Все правильно?

Сообщение Alex2ndr »

mandreika писал(а):
04.12.2009 09:52
ОUTPUT означает исходящие пакеты сгенерированные самой машиной, т.е. движение пакетов из lo -> eth (Т.е. клиентские приложения находятся на этой машине?)

Локальные пакеты движутся не из lo - насколько я знаю потока трафика lo -> eth просто не существует. Вы tcpdump на lo послушайте. На lo идет сетевой трафик между локальными процессами - но не между процессами и сетью.
Интересно - это я чего-то не понимаю или это просто распространенное заблуждение?
Спасибо сказали:
Вернуться к началу
Аватара пользователя
arkhnchul
Сообщения: 2284
Статус: Толчковый инженер
ОС: Debian, Fedora

Re: iptables. запретить все. разрешить исходящие. Все правильно?

Сообщение arkhnchul »

Интересно - это я чего-то не понимаю или это просто распространенное заблуждение?

заблуждение. Любой траффик между интерфейсами - FORWARD.
Losing is fun!
Спасибо сказали:
Вернуться к началу

Вернуться в «Администрирование»