LINUX.ORG.RU

История изменений

Исправление firkax, (текущая версия) :

В целом верно, но:

  1. -t filter писать не нужно, это дефолтная таблица, а если и писать то в начале команды, а не в середине

  2. может это мои личные предпочтения, но я бы сделал два правила - одно на разрешение 192.168.0.0/16 и второе на запрет всего; мне почему-то кажется что так будет интуитивно понятнее всё и проще к доработаке в случае чего (например если надо будет расширить список разрешённых)

  3. оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты: дописать --tcp-flags SYN,ACK SYN после -p tcp в запрещающем правиле

Исправление firkax, :

В целом верно, но:

  1. -t filter писать не нужно, это дефолтная таблица, а если и писать то в начале команды, а не в середине

  2. может это мои личные предпочтения, но я бы сделал два правила - одно на разрешение 192.168.0.0/16 и второе на запрет всего; мне почему-то кажется что так будет интуитивно понятнее всё и проще к доработаке в случае чего (например если надо будет расширить список разрешённых)

  3. оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты: дописать --tcp-flags SYN,ACK SYN после -p tcp

Исходная версия firkax, :

В целом верно, но:

  1. -t filter писать не нужно, это дефолтная таблица, а если и писать то в начале команды, а не в середине

  2. может это мои личные предпочтения, но я бы сделал два правила - одно на разрешение 192.168.0.0/16 и второе на запрет всего; мне почему-то кажется что так будет интуитивно понятнее всё и проще к доработаке в случае чего (например если надо будет расширить список разрешённых)

  3. оно действительно порежет весь исходящий tcp-трафик, но у меня есть подозрение что ты хотел другое - запретить исходящие коннекты (потому что входящие коннекты тоже генерируют исходящий трафик); чтобы запретить исходящие коннекты, надо фильтровать только SYN-пакеты