Привет, ребята! :-) .
Мне нужен один (несколько?) совет(ов) от вас по настройке iptables. Я новичок в iptables, и это первый раз, когда я настраиваю сервер ТОЛЬКО с iptables в качестве брандмауэра (у нас нет ни денег, ни времени, чтобы заранее настроить «настоящий» брандмауэр).
Я хотел бы подключиться к своему серверу по SSH только с specific.location.com.
Поэтому я установил следующие правила в INPUT:
target in out source destination
ACCEPT lo any localhost anywhere
ACCEPT any any specific.location.com myserver.local tcp dpt:ssh
Мои политики по умолчанию:
INPUT DROP
FORWARD DROP
OUTPUT ACCEPT
С этой первой конфигурацией я смог подключиться к своему серверу, но не смог выйти вовне (например, на google.com), и соединение было очень медленным.
Я понял, что мой брандмауэр не имел никаких правил, включая состояние "ESTABLISHED" из пакета. Действительно, я предполагаю, что мои пакеты могли выйти, но не могли вернуться обратно...
Поэтому я добавил следующее правило:
target in out source destination
ACCEPT any any anywhere anywhere state ESTABLISHED
Теперь все работает как часы, я могу получить доступ к серверу снаружи, соединение очень быстрое, как и раньше, и я могу получить доступ к своему серверу по SSH только с Specific.location.com!
Мой единственный вопрос в том, что мне нужны ваши советы, это чистая конфигурация? Я не нашел ни одного примера такого в интернете, поэтому я очень задаюсь вопросом...
Или я только что допустил ОГРОМНУЮ ошибку безопасности?!
Спасибо за помощь ребята :-)
решение1
Канонически, это правило ESTABLISHED на самом деле RELATED,ESTABLISHED. Оно не повлияет на SSH или HTTP(S), хотя — разница в том, что RELATED также охватывает то, чтотехническиновые соединения, но связаны с существующими, как в случае с коммуникациями по каналу данных FTP или эхо-ответами ICMP.
В целом, то, что вы здесь сделали, просто замечательно.