Задать вопрос
@Antuan1979

Можете покритиковать правила iptables?

Добрый день!
Изучаю IPTABLES. Хочу конструктивной критики по приведенным правилам (домашний сервер, на котором используется Samba и CUPS. Подключение по SSH с одного компьютера):
*filter
:INPUT DROP [1082:114493]
:FORWARD DROP [0:0]
:OUTPUT DROP [34:1780]
# Разрешаем lo
-A INPUT -i lo -j ACCEPT
# Отбрасываем пакеты со статусом INVALID
-A INPUT -m state --state INVALID -j DROP
# Разрешаем подключение по ssh (порт 1212 иземенено с 22) с определенного mac-адреса.
-A INPUT -m mac --mac-source 00:00:00:00:00:01 -p tcp -m multiport --port 1212 -j ACCEPT
# apt
-A INPUT -p tcp -m multiport --port 80,53,32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m multiport --port 80,53,32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --port 80,53,32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m multiport --port 80,53,32768:61000 -m state --state NEW,ESTABLISHED -j ACCEPT
# Samba
-A INPUT -s 192.168.14.0/24 -p udp -m udp --dport 137 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p udp -m udp --dport 138 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p tcp -m tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
# CUPS
-A INPUT -s 192.168.14.0/24 -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -s 192.168.14.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
COMMIT
  • Вопрос задан
  • 97 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 1
hint000
@hint000
у админа три руки
Насчёт ssh есть странность.
Если сервер выставлен непосредственно в Интернет, то нет смысла в --mac-source при доступе извне.
Если же сервер в локальной сети и доступ извне только через роутер, тогда непонятно, зачем ssh на нестандартном порту, ведь для доступа извне на роутере всё равно потребуется проброс порта.

Далее, Samba и CUPS не будут работать, потому что разрешен только INPUT, а OUTPUT по-умолчанию DROP. Вообще, дропать OUTPUT по-умолчанию - не лучшая идея, IMHO. Разве что речь шла бы о компьютере в застенках спецслужбы :)
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы