Здравствуйте! Подскажите, пожалуйста, как должен быть правильно настроен фаерволл, чтобы защитить сервер, круглосуточно подключённый к Интернет. Вот скрипт, загружающего фаерволл на моём сервере:
#!/bin/sh
## Очистка таблиц
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
## Отфильтровывание пакетов с локальным адресом
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -t filter -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables –t filter –A INPUT –i eth0 –s 10.0.0.0/8 –j DROP
## Отфильтровывание пакетов на широковещательный адрес
iptables –t filter –A INPUT –i eth0 –d 255.255.255.255 –j DROP
## Разрешить lo и внутреннюю сеть
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i eth1 -j ACCEPT
## Разрешить icmp
iptables –t filter -A INPUT -i eth0 -p icmp -j ACCEPT
## Закрытие портов входящих соединений, кроме ssh
iptables –t filter -A INPUT -i eth0 -p udp -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables –t filter -A INPUT -i eth0 -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables –t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
## Всё остальное запретить
iptables -t filter -A INPUT -j DROP
Закрытия портов и отфильтровывания широковещательных и локальных пакетов недостаточно? Слышал, что нужно также фильтровать фрагментированые icmp-пакеты и что-то ещё. Подскажите, чего не хватает.