Первый раз с iptables

0

1

Домашний компьютер без каких-либо демонов смотрящих наружу, - и так никому не нужный, но я захотел поковырять iptables.

Идея обычная, параноидальная, - мало защитить компьютер от интернета, надо защитить интернет от компьютера. Хочу блокировать все по-умолчанию, и лишь руками сам разрешать, к каким портам (всего два: 80, 443) я мог бы подключаться наружу.

Текущий iptables.rules:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

Можете посоветовать, как можно еще более жестче огородиться? :)

Ссылка

←	О защите ОС и данных на включенном компьютере

Как отследить цепочку переходов (с сайта на сайт)?

→

-A INPUT -p udp -j DROP -A OUTPUT -p udp -j REJECT

dmiceman ★★★★★
(28.10.11 07:29:33 MSK)

Ссылка

>к каким портам (всего два: 80, 443) я мог бы подключаться наружу.
У тебя ЛОР в /etc/hosts прописан, а на другие сайты ты не ходишь?

kernelpanic ★★★★★
(28.10.11 08:24:59 MSK)

Ссылка

dmiceman, кстати встречал подобные конфиги, - а оно обязательно? правила по-умолчанию и так DROP, зачем же в конце делать еще раз -A INPUT -j DROP?

kernelpanic, не вдаваясь в занудство, - да, именно так. имею ограниченный круг сайтов (ну, не только сайты. просто ограниченный список «адрес:порт»), которые посещаю. поэтому предпочитаю все запретить, а их разрешить один раз.

~~Spoofing~~ ★★★★★
(28.10.11 08:46:32 MSK) автор топика

Ответ на: комментарий от Spoofing 28.10.11 08:46:32 MSK

Это был такой тонкий намек на dns.

kernelpanic ★★★★★
(28.10.11 08:51:58 MSK)

Ссылка

#!/bin/sh
filter="/sbin/iptables -t filter"

$filter -F

$filter -P INPUT DROP
$filter -A INPUT -i lo -j ACCEPT
$filter -A INPUT -p UDP --sport 53 -j ACCEPT
$filter -A INPUT -p TCP -m multiport --sport 80,443 -j ACCEPT

$filter -P FORWARD DROP

$filter -P OUTPUT DROP
$filter -A OUTPUT -o lo -j ACCEPT
$filter -A OUTPUT -p UDP --dport 53 -j ACCEPT
$filter -A OUTPUT -p TCP -m multiport --dport 80,443 -j ACCEPT

как-то так. по вкусу: входные/выходные интерфейсы, состояния соединений

thematt ★
(28.10.11 10:26:02 MSK)

Ответ на: комментарий от thematt 28.10.11 10:26:02 MSK

Спасибо, немного попилил и почитал ман, - все работает как и хотел)..

~~Spoofing~~ ★★★★★
(28.10.11 13:00:49 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	О защите ОС и данных на включенном компьютере

Security

Как отследить цепочку переходов (с сайта на сайт)?

→

Похожие темы