Как выглядит простая настройка iptables?

0

1

Где-то на linux.org.ru видел комментарий человека, который разрешил/запретил входящий/исходящий трафик. В общем, как выглядит простая настройка iptables? Нужно запретить входящий трафик, а исходящий разрешить?

Ссылка

←	Есть /root. Есть 755 и 750 аттрибутов доступа к этой директории.

Почему LOR имеет csrf на логин? Какой смысл?

→

Не закрыть 111 порт (комментарий)

для INPUT в простейшем случае. разрешить ssh всем и открыть 80ый порт только для локалки, должно быть что то вроде:

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT              # accept ssh from all
iptables -A INPUT -i eth0_LAN -m state --state NEW -p tcp --dport 80 -j ACCEPT  # accept http connections from lan
iptables -P INPUT DROP

точнее сформулируйте, что надо разрешить, что запретить.

samson ★★
(17.08.17 19:27:12 MSK)
Последнее исправление: samson 17.08.17 19:28:32 MSK (всего исправлений: 1)

Ответ на: комментарий от samson 17.08.17 19:27:12 MSK

точнее сформулируйте, что надо разрешить, что запретить.

Просто безопасность на домашнем компьютере. Насколько я знаю нужно запретить входящие порты и исходящие разрешить, но в iptables нет желания разбираться.

just_a_brake
(17.08.17 19:33:37 MSK) автор топика

Ответ на: комментарий от just_a_brake 17.08.17 19:33:37 MSK

Просто безопасность на домашнем компьютере

Если домашний комп за роутером,то на компе фаервол настраивать не нужно.

~~King_Carlo~~ ★★★★★
(17.08.17 19:40:19 MSK)

Ответ на: комментарий от King_Carlo 17.08.17 19:40:19 MSK

Если домашний комп за роутером,то на компе фаервол настраивать не нужно.

А если не за роутером, а за беспроволным модемом?

just_a_brake
(17.08.17 19:44:18 MSK) автор топика

Ответ на: комментарий от just_a_brake 17.08.17 19:44:18 MSK

А если не за роутером, а за беспроволным модемом?

Если на модеме nat, то не надо, если адрес на ПК, то iptables поковырять имеет смысл.

~~King_Carlo~~ ★★★★★
(17.08.17 19:46:56 MSK)

Ссылка

/sbin/iptables -t filter -4 -F
/sbin/iptables -t filter -4 -P INPUT DROP
/sbin/iptables -t filter -4 -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -4 -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -4 -P FORWARD DROP
/sbin/iptables -t filter -4 -P OUTPUT ACCEPT

thematt ★
(21.08.17 10:45:45 MSK)
Последнее исправление: thematt 21.08.17 10:46:11 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от just_a_brake 17.08.17 19:33:37 MSK

в iptables нет желания разбираться

Ну ты хоть дистрибутив подскажи

Guest_now ★
(21.08.17 15:32:59 MSK)

Ссылка

https://wiki.debian.org/HowTo/shorewall https://wiki.archlinux.org/index.php/Shorewall

anonymous
(21.08.17 20:40:48 MSK)

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT

FluffyPillow ★
(30.08.17 16:37:41 MSK)

Ссылка

Ответ на: комментарий от anonymous 21.08.17 20:40:48 MSK

+ https://wiki.archlinux.org/index.php/Simple_stateful_firewall

greenman ★★★★★
(30.08.17 17:12:44 MSK)

Ссылка

Ответ на: комментарий от just_a_brake 17.08.17 19:33:37 MSK

нужно запретить входящие порты

Порт «открывается» не сам по себе, а когда есть приложение, которое ожидает соединение на нём. В этом случае iptables нужен только как костыль, когда такие приложения есть, но нужно запретить им это делать.
И если так не разбираться, потом не удивляйся, чего это торренты не качаются, или папки расшаренные в локалке не работают

TheAnonymous ★★★★★
(30.08.17 22:49:26 MSK)