LINUX.ORG.RU

История изменений

Исправление Spoofing, (текущая версия) :

даяхз. мне iptables кажется очевиднее, step-by-step, шаг за шагом. чем создаём какие-то вложенности и чёрти что там описывать. слишком запутанно. ну может дело привычки.

тоже самое на старом родном iptables, для сравнения.

iptables -P INPUT DROP
iptables -N tcp
iptables -N udp

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -m conntrack --ctstate INVALID -j DROP

iptables -t filter -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j tcp
iptables -t filter -A INPUT -p udp -m conntrack --ctstate NEW -j udp
iptables -t filter -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

iptables -t filter -A INPUT -p tcp -j REJECT --reject-with tcp-rst
iptables -t filter -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -t filter -A INPUT -j REJECT --reject-with icmp-proto-unreachable

iptables -t filter -A tcp -p tcp --dport 22 -j ACCEPT
iptables -t filter -A tcp -p tcp --dport 80 -j ACCEPT

Исходная версия Spoofing, :

даяхз. мне iptables кажется очевиднее, step-by-step, шаг за шагом. чем создаём какие-то вложенности и чёрти что там описывать. слишком запутанно. ну может дело привычки.

тоже самое на старом родном iptables, для сравнения.

iptables -P INPUT DROP
iptables -N tcp
iptables -N udp
iptables -P OUTPUT DROP

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -m conntrack --ctstate INVALID -j DROP

iptables -t filter -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j tcp
iptables -t filter -A INPUT -p udp -m conntrack --ctstate NEW -j udp
iptables -t filter -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

iptables -t filter -A INPUT -p tcp -j REJECT --reject-with tcp-rst
iptables -t filter -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -t filter -A INPUT -j REJECT --reject-with icmp-proto-unreachable

iptables -t filter -A tcp -p tcp --dport 22 -j ACCEPT
iptables -t filter -A tcp -p tcp --dport 80 -j ACCEPT