Dowolnego, tzn. z dowolnego źródła na dowolny cel dla dowolnego protokołu, tzw. from any to any, w przypadku IPTables jeśli źródło i cel jest dowolne, pomija się to w regule, bez pominięcia wyglądałoby to tak.
iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
0/0 to odpowiednik 0.0.0.0/0 lub 0.0.0.0 maska 0.0.0.0.
Logowania? -j LOG? Gdzie to dodać? Na końcu? Czy może trzeba utworzyć nową linijkę?
Jeszcze jedno, chciałbym napisać, żeby była możliwość kierowania w INPUT do nowego łańcucha - dowolnych komunikatów ICMP
a następnie niedopuszczania (DROP) tych komunikatów w nowym łańcuchu, których adresem źródłowym jest broadcast.
Napisałem tak:
iptables -A INPUT -p icmp -j NEW
iptables -A NEW -m addrtype --src-type broadcast -j DROP
Mimo działa, choć pewności nie mam, czy o to chodziło.
A jest taka opcja, aby tworzyć nowy łańcuch trzeba wpisać -N. No dobra, ale muszę przecież użyć INPUT. Czy to co napisałem jest poprawnie? Nie trzeba wpisać -N?
# Tworzysz nowy łańcuch, np. INBOUND
iptables -N INBOUND
# Przypisujesz go do łańcucha INPUT
iptables -A INPUT -j INBOUND
# Tworzysz reguły dla nowego łańcucha
iptables -A INBOUND ...
W miejsce trzech kropek wstawiasz regułę. Większość popularnych metod ataków sieciowych można blokować, wykorzystując gotowe moduły, aktywować je możesz albo zmieniając wartość w systemie plików proc, albo na stałe w pliku /etc/sysctl.conf.