Я настраиваю брандмауэр с помощью iptables. Я впервые попытался сделать что-то подобное.
Пока у меня следующие правила:
# Clear any previous entries
--flush
--delete-chain
# Set the default policies for all three default chains
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
# Enable use of the loopback interface
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
# Accept inbound TCP packets
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
# Accept inbound UDP packets
-A INPUT -p udp --dport 123 -j ACCEPT
# Accept inbound ICMP messages
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
У меня открытые порты: 80 (http), 443 (https), 22 (ssh), 123 (ntp).
Мы будем очень благодарны за любые предложения или улучшения.
Мне нравится.
В моей личной конфигурации строки с операторами TCP ACCEPT немного более конкретны:
-A ВВОД -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT
-A ВХОД -p tcp --dport 443 --syn -m state --state NEW -j ACCEPT
Я бы изменил ваш порт ssh на что-то более высокое, например, 2223, и отключил 22. Также не забудьте 8080 (резервный http-порт).