Сказать, что у меня есть Linux-сервер в качестве маршрутизатора из LAN в WAN. Мне не нужны входящие запросы WAN из соображений безопасности. Итак, как мне заблокировать все входящие запросы через интерфейс WAN, но не ограничить нормальную активность пользователей LAN в Интернете?
Какое приложение мне следует использовать? (iptables?). Какая услуга будет отключена, если я отключу весь входящий трафик?
Если вы действительно хотите заблокировать весь входящий трафик из WAN (или Интернета), вы можете просто добавить правило, подобное следующему:
$ iptables -A INPUT -i eth0 -j DROP
предполагая eth0 это интерфейс WAN. Этого достаточно, чтобы заблокировать весь входящий трафик. Однако вам необходимо разрешить всем связанным / установленным соединениям запрашивать некоторые услуги из WAN / Интернета. Итак, вам нужно такое правило:
$ iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Конечно ACCEPT правило следует добавить перед DROP правило. Это помешает вам размещать какие-либо службы в своей сети.
iptables -A FORWARD -i eth0 -j DROP
Не блокирует входящий трафик. Вы должны добавить правило INPUT цепь например:
iptables -A INPUT -i eth0 -j DROP