Chciałbym skonfigurować mój VPS tak, aby akceptował TYLKO połączenia z zewnątrz na porcie 22 (gdzie nasłuchuje sshd) i żądania ICMP. Wszystko inne z zewnątrz należy odrzucić. Wewnątrz serwera wszystko powinno być dozwolone. Czy poniższe reguły tworzą pożądane zachowanie?
iptables -A INPUT --jump ACCEPT --protocol all --source 127.0.0.1
iptables -A INPUT --jump ACCEPT --protocol tcp --dport 22
iptabels -A INPUT --jump ACCEPT --protocol icmp
iptables -A INPUT --jump ACCEPT --match state --state ESTABLISHED,RELATED
iptables -A INPUT --jump REJECT --protocol all
Nie jestem całkowicie pewien, czy reguły ACCEPT „wygrywają” w stosunku do ostatniego ogólnego ODRZUCENIA
--source 127.0.0.1
do określania, czy pakiet jest bezpieczny do przyjęcia. Zobacz serverfault.com/a/825231/4131Odpowiedzi:
Masz rację.
Reguły będą przetwarzane w kolejności wiersza pliku. Jeśli istnieje zgodność z regułą, w twoim przypadku nie zostaną przetworzone żadne inne reguły dla tego pakietu IP.
http://en.wikipedia.org/wiki/Iptables
źródło