Faierwall na laptopa - Biurko

[dhapollo]

Witam.

Postanowiłem napisać sobie zaporę opartą o iptables dla laptopa pracującego jako stanowisko robocze w sieci domowej oraz poza nią.
Proszę o wyrozumiałość ponieważ dopiero się uczę, a wszystkie uwagi i sugestie są dla mnie cenne

Adresacja sieci domowej 192.168.125.0/24
Interfejsy w laptopie
wlan0 - wi-fi
eth1 - Kabelek
ppp0 - Modem 3g na usb

Założenia:
Komputer w sieci domowej oferuje usługi www, ftp, samba, ssh do których ma być dostęp z sieci (Tylko), umożliwione pingowanie komputera.
W pozostałych sieciach (po za domem) niezależnie od podłączonego interfejsu zabraniamy pingowania, oraz Zamykamy wszystko.

Skrypt jaki wymyśliłem, oraz pytanie czy poprawnie spełnia kryteria oraz czy można coś w nim poprawić?

Kod: Zaznacz cały

#!/bin/sh

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "INPUT DROP INVALID " --log-ip-options --log-tcp-options
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -p icmp --icmp-type echo-request -j  DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j  DROP
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j  DROP
    
 #Dopuszczamy ruch z sieci domowej   
iptables -A INPUT -s 192.168.125.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 450 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.125.0/24 -p tcp --dport 136 -j ACCEPT

Pytanie do specjalistów czy możemy zrobić iptables -P OUTPUT DROP a zapewnić działanie www na maszynie?


Pozdrawiam.

[jacekalex]

Można OUTPUT dać na DROP (politykę domyślną), a potem wypuścić regułami ruch na podstawie rożnych dopasowań firewalla.
jest to jednak o tyle niepraktyczne, ze apt-get musi aktualizować system, i w związku z tym musi mieć dostęp do netu.
Więc albo pozwolisz na OUTPUT wszystkim, albo np tylko sobie, ale rootowi będziesz wtedy ustawiał pozwolenia na ICMP, na ściąganie paczek i list pakietów, na usługę DNS, razem to będzie sporo zabawy.
Ale próbować możesz.

[piotrek_ra]

OUTPUT się przydaje jak chcemy chronić internet przez użytkownikami na naszym komputerze.

[dhapollo]

Rozumiem, że skrypt spełnia swoje zadanie i zabezpieczy kompa?