Защитник является просто набором антишпиона. Это не собирается останавливать все вирусы, таким образом, Вы будете все еще зависеть от достойного virusscanner. Но это может заменить некоторые функции McAfee.
Понятый это. Мой исходный ruleset заблокировал все очень хорошо. Проблема wass, что на этом сервере, localhost твердость (через/etc/hosts) к:: 1 (обратная петля IPv6) сначала. Эти правила не работали из-за этого. После того, как я удалил ту запись из своего/etc/hosts файла, я смог получить все это работать просто великолепно. Мой сценарий тестирования похож на это:
#!/bin/bash iptables --flush iptables -A INPUT -i lo -p tcp --dport 0:1024 -j ACCEPT iptables -A OUTPUT -o lo -p tcp --dport 0:1024 -j ACCEPT iptables --policy INPUT DROP iptables --policy OUTPUT DROP iptables --policy FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -j REJECT #iptables -I INPUT 1 -i lo -p tcp --dport 10001 -m state --state NEW,ESTABLISHED -j ACCEPT #iptables -I OUTPUT 1 -o lo -p tcp --dport 10001 -m state --state NEW,ESTABLISHED -j ACCEPT
С последними двумя включенными строками я могу открыть ssh локальное переданное соединение на порте 10001. С ними отключенный, я не могу.Прекрасно!
Разве не было бы легче выключить ssh, передающий на ssh сервере? Просто изменение AllowTcpForwarding
от да до не в Вашем/etc/ssh/sshd_config. Если это не подходит, Вы могли бы попробовать что-то вроде
iptables -A OUTPUT -o eth1 -p tcp --cmd-owner "sshd" -j DROP
Переданные соединения произойдут из локальной системы. Необходимо было бы удалить ниже правила, которое позволяет исходящие соединения, и затем в случае необходимости замените его несколькими правилами, которые только позволяют исходящие соединения, которые Вы явно разрешаете.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Учтите, что вместо "localhost" может использоваться:
и также Вы не сделали записал что-либо о клиенте B, пытающемся соединяться непосредственно с clientA:
ssh-L 23:clientA:80 someserver (я выбрал порт 80 b/c, возможно, Ваш брандмауэр, позволяет его исходящий),
Я сожалею, со всеми они (и больше) доступные опции, вместе с Вашим очень простым знанием iptables, вероятно, что Вы покидаете зияющие дыры в своей установке. Если бы что-либо действительно ценное находится в доле, я предложил бы спросить кого-то, кто знает лучше, чтобы сделать все это.