Привет, ребята! :-).
Мне нужен (несколько?) Советов от вас по поводу моей настройки iptables. Я новичок в iptables, и это первый раз, когда я настраиваю сервер ТОЛЬКО с iptables в качестве брандмауэра (у нас нет ни денег, ни времени, чтобы заранее установить «настоящий» брандмауэр).
Я хочу подключиться к моему серверу через SSH только с specific.location.com.
Поэтому я установил в INPUT следующие правила:
target in out source destination
ACCEPT lo any localhost anywhere
ACCEPT any any specific.location.com myserver.local tcp dpt:ssh
Мои политики по умолчанию:
INPUT DROP
FORWARD DROP
OUTPUT ACCEPT
С этой первой конфигурацией я смог подключиться к моему серверу, но не смог выйти за пределы (например, google.com), и соединение было очень медленным.
Я понял, что в моем брандмауэре нет правила, включая состояние «УСТАНОВЛЕН» из пакета. Действительно, я думаю, мои пакеты могли выйти, но не могли вернуться ...
Поэтому я добавил это правило:
target in out source destination
ACCEPT any any anywhere anywhere state ESTABLISHED
Теперь все работает как шарм, я могу получить доступ извне с сервера, соединение очень быстрое, как и раньше, и я могу получить доступ к своему серверу по SSH только с specific.location.com!
Мой единственный вопрос: мне нужны ваши советы, это чистая конфигурация? Я не нахожу такого примера в Интернете, поэтому мне интересно ...
Или я просто сделал ОГРОМНУЮ ошибку безопасности ?!
Спасибо за помощь ребята :-)
Канонически это УСТАНОВЛЕННОЕ правило на самом деле СВЯЗАНО, УСТАНОВЛЕНО. Однако это не повлияет на SSH или HTTP (S) - разница в том, что RELATED также включает в себя то, что технически новые подключения, но связаны с существующим, как при обмене данными по каналу данных FTP или эхо-ответах ICMP.
В целом, то, что вы здесь сделали, прекрасно.