Зачем нужен firewall?

незачем, потому как под линупс для десктопа до сих пор нет нормальной домохозяечной NAC/IDS.

imho:

1) избавиться от лишнего геморроя:

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A INPUT -m state --state ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -m state --state RELATED -j ACCEPT

2) опционально... хотя при соседстве с виндой это must...

-A forward_ext -m pkttype --pkt-type multicast -j DROP 
-A forward_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -m pkttype --pkt-type multicast -j DROP 
-A input_ext -m pkttype --pkt-type broadcast -j DROP

3) для красоты картинки ...

*raw
:PREROUTING ACCEPT [589293:631063175]
:OUTPUT ACCEPT [350755:186743205]
-A PREROUTING -i lo -j NOTRACK 
-A OUTPUT -o lo -j NOTRACK 

4) опционально, но съём и мониторинг (подсчёт, статистика) трафа хомячков в нормальных конторах тоже must... (а шо делать...), частенько это решается на уровне того же iptables (впрочем по обстоятельствам...)

1)
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
2)
3)
4)

это конечно всё примеры как продуктивно использовать iptables (кстати ещё NAT забыл), но это не firewall про который я говорю (a-la «кто без разрешения — не пущать») а руление трафиком.

я имел ввиду именно
1)
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -j DROP

нафига это нужно? как это повышает безопасность системы? Больше похоже на анахронизм из винды где хозяин машины толком не знает что у него там работает и вместо того чтобы следить за безопасностью работающих процессов он следит за выходной трубой.

> нафига это нужно? как это повышает безопасность системы?
безопасность системы повышает отсутствие смотрящих наружу сервисов ;))

Сложи сам 2 и 2, для закрытия от доступа снаружи сервисов, которые снаружи не должны быть видны, а на портах висят. Если таковых нет - то, к примеру, для защиты открытых (не поверишь).

> для закрытия от доступа снаружи сервисов, которые снаружи не должны быть видны, а на портах висят. Если таковых нет - то, к примеру, для защиты открытых
+1. Такая политика исключает возможность забыть отключить что-нибудь с плохими последствиями. :)
Да и это легче, чем настраивать каждый сервис в отдельности (на каком интерфейсе/адресе висеть).

нафига это нужно? как это повышает безопасность системы? Больше похоже на анахронизм из винды где хозяин машины толком не знает что у него там работает и вместо того чтобы следить за безопасностью работающих процессов он следит за выходной трубой.

повторюсь, imho, но даже блокировка на входе по icmp (NEW) уже благо. теперь о безопасности - есть 2 основных дистра, где security на высоте - SLE/SuSE (AppArmor + SeLinux) и RH/FC/CentOS (SeLinux). каков процент людей, тратящих время на доводку обеих систем до идеала, применимо к «целевому использованию»? предложи нормальный аналог вот этого (с учётом того, что, мать его, The pid, sid and command matching is broken in SMP kernels since they use different process lists for each processor. It might be fixed in the future however...):

Little Snitch

и получается, что следить за «трубой» один хрен проще, чем за сортиром, из которого она торчит.

Шоб было.

Еще один уровень защиты лишним не станет.

> Еще один уровень защиты лишним не станет.

Да, только для этого. Например, если установишь систему искаропки и ни разу не обновишь.

Ипитаблесы — для слабаков (за исключением DNAT, SNAT — это для бедных).

>Например, если установишь систему искаропки и ни разу не обновишь.

В приличных конторах за такое кастрируют.

Ипитаблесы — для слабаков (за исключением DNAT, SNAT — это для бедных).

Спасибо, поржал :D

Пакетный фильтр (в простонародье «файервол») нужен хотя бы для того, чтобы делать «scrub in all» и «antispoof for $ext_if» — c такой элементарной защитой ты уже не интересен 99% Script Kiddies.

Если у вас некого подозревать в саботаже, гипотетических хакеров нету, лишних сервисов не может быть - у вас просто сферическая машина в вакууме, очевидно что нетфильтр не нужен.