Рассмотрим как настроить фаервол для домашнего использования
Понять все настройки iptables очень сложно, начнём с простых примеров, как настройка для домашнего использования.
Команды
Просмотр цепочек
$ sudo iptables -L
Сохранение конфигурации (для этого надо сначала получить права root, один из методов $ sudo su)
# iptables-save > /etc/iptables.up.rules
Восстановление конфигурации
$ sudo iptables-restore /etc/iptables.up.rules
Добавление правил
Действие по умолчанию для входящих соединений, запретить все
$ sudo iptables -P INPUT DROP
Разрешить любые подключения на lo интерфейсе(Локальная петля)
$ sudo iptables -A INPUT -i lo -j ACCEPT
Разрешение для ICMP, на любом интерфейсе с любого источника
$ sudo iptables -A INPUT -p ICMP -j ACCEPT
Открыть порт для ssh
$ sudo iptables -A INPUT -p TCP --dport 22 -j ACCEPT
Сохраняем правила
# iptables-save > /etc/iptables.up.rules
Для восстановления iptables после перезагрузки в файл /etc/network/interfaces добавим
Дополнение
Для указания нескольких портов в --dport (к примеру --dport 80,443) указывать параметр -m multiport
Параметр -s указывает на ip адрес или подсеть
Понять все настройки iptables очень сложно, начнём с простых примеров, как настройка для домашнего использования.
Команды
Просмотр цепочек
$ sudo iptables -L
Сохранение конфигурации (для этого надо сначала получить права root, один из методов $ sudo su)
# iptables-save > /etc/iptables.up.rules
Восстановление конфигурации
$ sudo iptables-restore /etc/iptables.up.rules
Добавление правил
Действие по умолчанию для входящих соединений, запретить все
$ sudo iptables -P INPUT DROP
Разрешить любые подключения на lo интерфейсе(Локальная петля)
$ sudo iptables -A INPUT -i lo -j ACCEPT
Разрешение для ICMP, на любом интерфейсе с любого источника
$ sudo iptables -A INPUT -p ICMP -j ACCEPT
Открыть порт для ssh
$ sudo iptables -A INPUT -p TCP --dport 22 -j ACCEPT
Сохраняем правила
# iptables-save > /etc/iptables.up.rules
Для восстановления iptables после перезагрузки в файл /etc/network/interfaces добавим
pre-up iptables-restore < /etc/iptables.up.rulesДополнение
Для указания нескольких портов в --dport (к примеру --dport 80,443) указывать параметр -m multiport
Параметр -s указывает на ip адрес или подсеть
А можно более гибко настроить используя arno-iptables-firewall в рипозитариях он есть.
ОтветитьУдалить