Можете покритиковать правила iptables?

Question

[Antuan1979]

Добрый день!
Изучаю IPTABLES. Хочу конструктивной критики по приведенным правилам (домашний сервер, на котором используется Samba и CUPS. Подключение по SSH с одного компьютера):
*filter
:INPUT DROP [1082:114493]
:FORWARD DROP [0:0]
:OUTPUT DROP [34:1780]
# Разрешаем lo
-A INPUT -i lo -j ACCEPT
# Отбрасываем пакеты со статусом INVALID
-A INPUT -m state --state INVALID -j DROP
# Разрешаем подключение по ssh (порт 1212 иземенено с 22) с определенного mac-адреса.
-A INPUT -m mac --mac-source 00:00:00:00:00:01 -p tcp -m multiport --port 1212 -j ACCEPT
# apt
-A INPUT -p tcp -m multiport --port 80,53,32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --port 80,53,32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --port 80,53,32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m multiport --port 80,53,32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
# Samba
-A INPUT -s 192.168.14.0/24 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
# CUPS
-A INPUT -s 192.168.14.0/24 -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
COMMIT

Answer 1

[hint000]

Насчёт ssh есть странность.
Если сервер выставлен непосредственно в Интернет, то нет смысла в --mac-source при доступе извне.
Если же сервер в локальной сети и доступ извне только через роутер, тогда непонятно, зачем ssh на нестандартном порту, ведь для доступа извне на роутере всё равно потребуется проброс порта.

Далее, Samba и CUPS не будут работать, потому что разрешен только INPUT, а OUTPUT по-умолчанию DROP. Вообще, дропать OUTPUT по-умолчанию - не лучшая идея, IMHO. Разве что речь шла бы о компьютере в застенках спецслужбы :)

Comments

[Antuan1979]

Большое спасибо! Сильно сказывается отсутствие у меня практики ((( А что бы вы порекомендовали для прочтения/изучения iptables и более глубокого понимания сетей? Iptables начал изучать с этого руководства

[hint000]

Antuan1979, есть более свежая версия руководства того же автора, правда на английском: https://www.frozentux.net/iptables-tutorial/iptabl...
Ещё немного: https://wiki.archlinux.org/index.php/Iptables_(Русский)
vasilisc.com/21-examples-iptables
https://linuxforum.ru/viewtopic.php?id=228
https://www.sidorenko.io/post/2014/03/default-ipta...

[Antuan1979]

Спасибо!