Как правильно закрыть всё и открыть только необходимое(входящий\исходящий) iptables и debian?

Question

[Sam Stay]

Здравствуйте.

Подскажите, пожалуйста, как на Debian при помощи iptables правильно закрыть все входящие и исходящие порты кроме 5-6 необходимых?

То есть мы закрываем всё(исходящее и входящее), кроме, например, 21,22,25,80,81,443. Порты так же должны работать как входящие, так и исходящие.

Answer 1

[enixpp]

# Разрешит локалный траффик
iptables -A INPUT -i lo -j ACCEPT

# Разрешит пинг
iptables -A INPUT -p icmp -j ACCEPT

# разрешит порты 21,22,25,80,81,443
iptables -A INPUT -p tcp -m multiport --port 21,22,25,80,81,443 -j ACCEPT

# Разрешит сессии
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 

# ну и запретит все остальное
iptables -A INPUT -j DROP

Comments

[enixpp]

исходяшие тоже самое только вместо INPUT будет OUTPUT

[Sam Stay]

Элбек Азимов: Спасибо! Очень помогли. Ума не приложу как можно разобраться в этом. iptables для меня темный лес.

[AVKor]

Егор Сав: Есть генераторы правил вагон и маленькая тележка.

[Sam Stay]

AVKor: спасибо. Никогда не думал поискать подобное. Попробую.

[Victor]

чем "# разрешит порты 21,22,25,80,81,443
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 81 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT"

лучше так "iptables -A INPUT -p tcp -m multiport --port 21,22,25,80,81,443 -j ACCEPT"

[enixpp]

estoy: Спасибо не знал :)

[Влад Животнев]

conntrack лучше не включать вовсе только. Особенно, на сервере под хоть какой-то серьёзной нагрузке.

[quik]

На счет коннтрака + 1 если сервер не будет натить лучше отключить.