Ответ MH является прекрасным способом иметь дело с текущей проблемой, но кто-то должен регулярно смотреть на журналы (еженедельно?) и проверка на проблемы/проблемы/и т.д.
Посмотрите этот вопрос для автоматизированного способа сохранить/очистить журналы. Резервное копирование их является хорошей практикой, полезной для исследования прошлых проблем и поиска шаблонов, и т.д.
Можно хотеть посмотреть на документацию Shorewall для наблюдения то, что может быть сделано с iptables. Я использую его для создания брандмауэра на всех моих экземплярах Linux (включая OpenWRT). Это хорошо зарегистрировало демонстрационные конфигурации (по умолчанию/основные) для серверов с 1, 2 или 3 интерфейса.
Проект Документации Linux также имеет документацию.
Вы ничего не упоминали о туземной таблице, таким образом, я собираюсь предположить, что этот вопрос касается записи iptables сценарии брандмауэра для автономных серверов, а не для мультиразмещенных/шлюзов полей.
Вы корректны: Каждая цепочка имеет единственную политику, таким образом, не имеет значения, где или в какой порядок, что правила политики указаны.
Это правило устанавливает конвенцию, которую многие/больше всего используют сценарии брандмауэра: это с сохранением информации. Просто несовершеннолетний придирается к мелочам, все же. Я не включал бы НОВОЕ состояние, и я буду также включать правило для ВХОДНОЙ цепочки, т.е.:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Я поместил эти правила рядом или наверху всех моих сценариев брандмауэра, поскольку они позволяют мне концентрироваться на создании правил для фильтрации попыток подключения и не иметь для размышления о non-connection-establishing пакетах. По-моему, сценарий брандмауэра без этих правил, вероятно, будет более сложным, и таким образом более подверженным ошибкам, чем та, которая включает их.
Это правило политики позволяет весь исходящий трафик. Как политика, позволяя все, очевидно, менее безопасно, чем разрешение только явных видов трафика. Таким образом, если безопасность будет Вашим предельным приоритетом, то Вы захотите установить политику ОТБРАСЫВАНИЯ в отношении выходной цепочки вместо этого. Просто знайте, что необходимо будет затем включать много правил позволить исходящий трафик возможно большому количеству приземленных вещей, таких как: DNS, SMTP, IMAP, POP3, HTTP, HTTPS, и т.д.
Состояние по сравнению с Conntrack: Состояние было удалено в пользу conntrack, эффективного с ядром Linux 3.7