Iptables. стоит ли выставлять по-умолчанию Forward DROP?

Это общий подход к безопасности --- запретить всё, разрешить только что нужно. Как настраивать ваш iptables ваше личное дело.

Да это то я понимаю.... Но, просто, как сильно упадет безопасность внутренней сети при «iptables -P FORWARD ACCEPT»? Что я теряю?

зависит. если внутри ipv4 с маскарадом — то не сильно. если реальные ip-шники — то вообще никакого файрвола считай нет.

> Но, просто, как сильно упадет безопасность внутренней сети при «iptables -P FORWARD ACCEPT»? Что я теряю?
Ты согласен иметь все дырки о которых ты не знаешь? Варианты ответа: Accept, Drop, Reject

с маскардом сервак. за ним локалка )

что имеется ввиду под «не сильно»??? Статейку может почитать от того кто задавался подобным вопросом? На мануал по iptables не кидайте, читал, разбирал и не раз.

нет на все дырки не согласен )))), в том и дело. Хочу понять где ожитать подвоха то.

> Хочу понять где ожитать подвоха то.
Нет никакого подвоха.
Единственный ньюанс в установке Drop или Reject - ты точно должен знать какие сервисы должны форвардиться, какие нет. И на каждый сервис ты должен знать что ему нужно. Иными словами ты должен разобраться. Это не так долго, если голова на плечах.

Вот пару советов:
- Определи что должно работать. Разберись что для этого нужно принимать (форвардить). Остальному делаешь DROP + LOG
- Периодически просматривай логи. Из того что дропается выдели то, что ты знаешь точно дропается правильно (например, коннекты на порты до 1024 если этих сервисов нет, какие-то броадкастовые и т .д. ). С этого можешь убрать LOG чтобы не засорять логи. Если не уверен - не убирай.
- Если что-то перестало работать - заменяй DROP на REJECT, включай tcpdump или Wireshark и отлаживай.
- Самое интересное будет с ftp и torrent - здесь, возможно, нужно будет подправить конфиг серверов - настроить диапазон портов.
- Обязательно настрой ротацию логов. Еще я вырезал лог iptables из /var/log/messages и запихивал в отдельный файл (man syslog-ng.conf), но это уже косметика.
- при изменении рабочей конфигурации обязательно сохраняй предыдущую версию (в iptables есть опция save). В автозагрузку ставь только после того как уверен что конфиг рабочий; у меня обкатка обычно 1 день.

>если внутри ipv4 с маскарадом — то не сильно

Да ну, тупо ломиться к машине в локальной сети из вне никто не будет. Но, угроза идет не снаружи, а изнутри. Если машинка в локальной сети через НАТ/маскарад может устанавливать любые соединения с любыми сервисами в мире, то что мешает ей рассылать спам, поднимать всякие VPNы. Т.е. сама машина инициатор, пользователь наградит ее заразой, а дальше как по маслу.

lvi, т.е. ты хочешь сказать, что если «iptables -P FORWARD DROP», то правило полностью разрешающее проброс пакетов из внутренней сети в мир - глупость, и можно писать просто «iptables -P FORWARD ACCEPT»?

Kroz, это то о чем я и говорил. ) Тот самый благодатный гемор, который хочется обойти, приняв простейшее правило )

>правило полностью разрешающее проброс пакетов из внутренней сети в мир - глупость

Именно здесь и нужно ждать подвоха. Лучше все-же iptables -P FORWARD DROP, а потом добавлять по необходимости и никак не все.

странный вопрос. задача какая стоит? один и тот же результат можно получить как и с -P DROP так и с -P ACCEPT, просто будут немного разные конфиги.

Я все же DROP поумолчанию ставлю, как-то надежнее, когда свои цепи добавляешь не так все прозрачно. А геморой, это когда свой IP из спам-листов начинаешь вытаскивать, ну и когда просто тебя кой-где банить начинают.

часто накручивают несколько десятков правил там, где их достаточно всего 5 например. вот я о чем.

Пример, почему policy FORWARD DROP полезно:
1. у тебя включен форвардинг ip4 в sysctl.
2. значит, твой сервер это шлюз, и он перебрасывает пакеты с интерфейса на интерфейс.
3. злохакер может зафлудить пакетами сеть Б, находясь в сети А, при условии, что обе сети подключены к твоему серверу.

> Да ну, тупо ломиться к машине в локальной сети из вне никто не будет.

Это не так. Ежедневно у меня на домашнем роутере в логах оседает около десятка таких попыток.

буду краток
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

после этого бробрасывай порты в PREROUTING и будет тебе щастье. FORWARD можно не трогать, если не нужно нечто большее...

Нет, не стоит. Раньше в локалках я мог жить и без оплаченных счетов ))

мда.... большинством за «iptables -P FORWARD DROP» таки. и геморрой ))) ибо безопаснее.

Кстати, это действительно проблема: зараженные машины рассылают спам ей Боже вообще как. Особенно, если инет быстрый. Но для того, чтобы они этого не делали, нужно закрыть доступ хотя бы на 25-й порт внешних серверов, что возможно только при использовании внешней почты через веб-интерфейс.