Moje reguły:
Kod: Zaznacz cały
#Wyczyść istniejące reguły, nie chcemy narobić bałaganu
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
#Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny.
iptables -P OUTPUT ACCEPT
#Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne)
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
#Otwieramy porty dla usług, które mają być dostępne dla świata. Np. http
# iptables -A INPUT -p PROTOKÓŁ --dport NUMER PORTU -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Kod: Zaznacz cały
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Jeśli tak to po co i jakie to ma znaczenie w praktyce otwieranie na stałe portu 80?
Kod: Zaznacz cały
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
Kod: Zaznacz cały
iptables -A INPUT -p tcp --dport 80 -j ACCEPT