PC do codziennego użytku: internet, przeglądanie stron, praca biurowa. Domyślna konfiguracja zapory to zablokowanie całego ruchu sieciowego a zezwolić tylko na połączenia wychodzące i z tym związane. Obecna konfiguracja iptables plik /etc/iptables/iptables.rules wygląda tak:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
Czy to poprawna konfiguracja? Znalazłem jeszcze inną konfigurację INPUT:
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A INPUT -p icmp -m icmp -icmp-type 8 -j ACCEPT
-A allowed_ip -p tcp --dport 22 -j DROP
-A INPUT -j REJECT --reject-with icmp-host-unreachable
Która opcja będzie poprawna i bezpieczniejsza? Jak to dobrze połączyć?