LINUX.ORG.RU
ФорумAdmin

Покритикуйте мою iptables

 ,


0

2

Настраивал просмотр iptv на компике, там надо было открыть igmp. Я так и сделал с firewalld, все проверил и в командной строки и в гуе, протокол включен, а ТВ нету. Вообщем теперь iptables.

По мануалам настроил себе такую таблицу. Только не знаю, может неправильно, может лишнее, может не секурно. -P OUTPUT ACCEPT заменить на DROP.

Тут ftp, ssh и один сервис.

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 65400:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED
-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 65400:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Что, как фильтруется?

Deleted ()
Ответ на: комментарий от barberry

атата...

-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
разрешает все входящие. Оно точно так надо? RELATED,ESTABLISHED не трогай.

slapin ★★★★★ ()

Более подробно

01. -P INPUT DROP
02. -P FORWARD DROP
03. -P OUTPUT ACCEPT
04. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
05. -A INPUT -p icmp -j ACCEPT
06. -A INPUT -i lo -j ACCEPT
07. -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
08. -A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
09. -A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
10. -A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
11. -A INPUT -p tcp -m tcp --sport 65400:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED
12. -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
13. -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
14. -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
15. -A OUTPUT -p tcp -m tcp --sport 65400:65535 --dport 20:65535 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Пронумеровал для удобства.

4 и 12 вместе покрывают состояния NEW,RELATED,ESTABLISHED. Тем самым единственное, что у тебя реально дропается правилом 1 это состояние INVALID.

13, 14, 15 не имеют никакого смысла, так как 3 определяет ACCEPT и ты еще раз этот же делаешь.

В 9, 10, 11, 13, 14, 15 не понятен смысл conntrack. Зачем он тут вообще?

11 суть в очередной раз открывает почти все порты.

Вывод — читай руководство https://www.opennet.ru/docs/RUS/iptables/, внимательно.

Deleted ()
Ответ на: комментарий от anc

Плюсану.

По сабжу для уменьшения количества правил можно использовать -m multiport.

trancefer ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.