В настоящее время мы используем в основном ВЫХОДНУЮ политику значения по умолчанию, ПРИНИМАЕМ.
Это достаточно для ВЫВОДА, потому что Netfilter не нужны специальные правила запустить отслеживание соединений с сохранением информации.
, Но если Вы хотите отфильтровать входящий трафик согласно" , значение по умолчанию отклоняет " политика, это может быть сделано с переключением
INPUT
- цепочка кDROP
:iptables -P INPUT DROP
Впоследствии все это было бы установлено с [1 127] всего 2 правила :
iptables -A INPUT -j ACCEPT -i lo iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
Обращают Ваше внимание на правило, позволяющее входной трафик на петлевом интерфейсе —, как я указал в своем сообщении в блоге" Минимальный брандмауэр для конечного пользователя ", если не позволено явно, петлевой трафик не будет обработан "установленной" проверкой состояния, по сравнению с обратным трафиком, скажем,
eth0
.Для обеспечения этот минимальный ruleset загружается" , как " w/o вмешивающийся в правила, которые уже могли бы быть там, удобно использовать
iptables-restore
на сессии SHELL:lptables-restore <<__EOF__ -P INPUT DROP -A INPUT -j ACCEPT -i lo -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED __EOF__
Прежде, чем сделать это удостоверяется, что Вы не сократите свое собственное сетевое подключение 1 глоток>, хотя уже открывают, сессии SSH должны продолжить работать обычно, попытки открыть новые не будут работать.
__
- , Конечно, можно добавить другие правила позволить такие соединения. Это может быть столь же просто как всего
-A INPUT -j ACCEPT -p tcp --dport 22
— никакая потребность переделать-m state
здесь. Также не забывайте прикреплятьlptables-restore
назад к [1 110] перед испытанием его ;)