LINUX.ORG.RU

Как выглядит простая настройка iptables?

 ,


0

1

Где-то на linux.org.ru видел комментарий человека, который разрешил/запретил входящий/исходящий трафик. В общем, как выглядит простая настройка iptables? Нужно запретить входящий трафик, а исходящий разрешить?

Не закрыть 111 порт (комментарий)

для INPUT в простейшем случае. разрешить ssh всем и открыть 80ый порт только для локалки, должно быть что то вроде:

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT              # accept ssh from all
iptables -A INPUT -i eth0_LAN -m state --state NEW -p tcp --dport 80 -j ACCEPT  # accept http connections from lan
iptables -P INPUT DROP

точнее сформулируйте, что надо разрешить, что запретить.

samson ★★ ()
Последнее исправление: samson (всего исправлений: 1)
Ответ на: комментарий от samson

точнее сформулируйте, что надо разрешить, что запретить.

Просто безопасность на домашнем компьютере. Насколько я знаю нужно запретить входящие порты и исходящие разрешить, но в iptables нет желания разбираться.

just_a_brake ()
Ответ на: комментарий от just_a_brake

Просто безопасность на домашнем компьютере

Если домашний комп за роутером,то на компе фаервол настраивать не нужно.

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

Если домашний комп за роутером,то на компе фаервол настраивать не нужно.

А если не за роутером, а за беспроволным модемом?

just_a_brake ()
Ответ на: комментарий от just_a_brake

А если не за роутером, а за беспроволным модемом?

Если на модеме nat, то не надо, если адрес на ПК, то iptables поковырять имеет смысл.

King_Carlo ★★★★★ ()
/sbin/iptables -t filter -4 -F
/sbin/iptables -t filter -4 -P INPUT DROP
/sbin/iptables -t filter -4 -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -4 -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -4 -P FORWARD DROP
/sbin/iptables -t filter -4 -P OUTPUT ACCEPT
thematt ()
Последнее исправление: thematt (всего исправлений: 1)
Ответ на: комментарий от just_a_brake

в iptables нет желания разбираться

Ну ты хоть дистрибутив подскажи

Guest_now ()
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT
FluffyPillow ()
Ответ на: комментарий от just_a_brake

нужно запретить входящие порты

Порт «открывается» не сам по себе, а когда есть приложение, которое ожидает соединение на нём. В этом случае iptables нужен только как костыль, когда такие приложения есть, но нужно запретить им это делать.
И если так не разбираться, потом не удивляйся, чего это торренты не качаются, или папки расшаренные в локалке не работают

TheAnonymous ★★★★★ ()
Ответ на: комментарий от just_a_brake

Насколько я знаю нужно запретить входящие порты и исходящие разрешить

Надо сервисы ненужные просто не запускать.

AS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.