я давно настраивал свой брандмауэр и теперь вижу, что может быть ошибка, вот часть INPUT iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
fail2ban-SSH tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:urd
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:imap
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
вы видите строку,
ПРИНЯТЬ все - где угодно и где угодно
без каких-либо параметров, означает ли это, что все порты открыты? как мне изменить эту строку?
Если вы вручную управляете iptables
, вам нужно написать правила для файл, используя iptables-save (8)
:
# iptables-save > /tmp/iptables.txt
Отредактируйте правила по своему усмотрению, затем восстановите набор с помощью iptables-restore (8)
:
# iptables-restore /tmp/iptables.txt
Проверьте документация по iptables
( apropos iptables
) и сообщения в онлайн-блоге о настройке межсетевого экрана с отслеживанием состояния с помощью iptables
.
Например. «К идеальному набору правил» Ян Энгельгардт.
если вы запустите:
iptables -L --line-numbers
, у вас будет ссылка на номер строки:
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
2 fail2ban-SSH tcp -- anywhere anywhere tcp dpt:ssh
3 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
4 DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
5 DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
6 DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
7 ACCEPT all -- anywhere anywhere
8 ACCEPT tcp -- anywhere anywhere tcp dpt:http
9 ACCEPT tcp -- anywhere anywhere tcp dpt:https
[...]
, а затем вы можете запустить
iptables -D INPUT 7