Чуваки, прошу посмотреть мои правила и прокомментить их. Может, что-то я неправильно сделал. Может, вы что-то предложите.
#!/bin/sh
iptables -F
iptables -X
ip6tables -F
ip6tables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo ! -s 127.0.0.1 -j DROP # Блокируем, если источник - не локалка
iptables -A OUTPUT -o lo ! -d 127.0.0.1 -j DROP # Блокируем, если адрес - не локалка
iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A OUTPUT -d 10.0.0.0/8 -j DROP
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j DROP #Блокируем вход. соединения на 53 порт для тсп
iptables -A INPUT -p udp --dport 53 -j DROP #Блокируем вход. соединения на 53 порт для удп
iptables -A INPUT -p tcp --dport 5353 -j DROP #Блокируем вход. соединения на 5353 порт для тсп
iptables -A INPUT -p udp --dport 5353 -j DROP #Блокируем вход. соединения на 5353 порт для удп
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
Напишу, что я хотел иметь, когда это все делал:
Сначала хотел уставновить политку по умолчанию для входящих на drop. И то же для транзитных пакетов. исходящие соединения разрешаю. Запрещаю ipv6 - трафик. Разрешаю локалку. Зарпещаю обращение к локалке, если источник обращения - не локалка(где-то читал, что такое может быть...). Запрещаю адреса, которые начинаются на 10. для входящих и исходящих подключений. Разрешаю входящее только для соединений, установленных мною. Блокирую входящие на 53 порт и на 5353. Блокирую пинг себя.
так ли все? Согласен, что есть определенная доля паранойи. В общем, преследую цели, чтобы по сети ломануть было тяжелее, т.к. по идее все не инициированные лично мной пакеты будут отбрасываться.
В общем, нужно Ваше мнение и критика. Всем спасибо и отличного настроения
