Como eu bloqueio todas as portas, exceto 22 e 80, no iptables do Fedora? [duplicado]

Navegue suas respostas
1

Estou tentando apenas permitir a porta 22 TCP / UDP e a porta 80 TCP / UDP de qualquer lugar usando o Fedora 15 iptables , e todo o resto nunca será acessível nem passível de varredura de uma rede pública.

Mas nunca funciona para mim, no final eu apaguei porque estou com medo de que ele me bloqueie para acessar até mesmo a porta 22.

Então, minha pergunta é: como posso fazer isso no Fedora 15? Bloquear tudo, exceto 22, 80 TCP / UDP? 

iptables -P INPUT ACCEPT

# Fresh start
iptables -F
# Localhost/ethernet 0 / yum installation allow
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# SSH
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#iptables -A INPUT -s aa.bb.aa.bb -d xx.yy.xx.yy -p tcp -m tcp –dport 22 -j ACCEPT
iptables -A INPUT -d xx.yy.xx.yy -p tcp -m tcp –dport 22 -j ACCEPT

# other
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# show
iptables -L -v
    
por YumYumYum 05.08.2011 / 19:59

1 resposta

2

A maneira mais fácil de editar a configuração do firewall no Fedora é usar a ferramenta system-config-firewall . Basta executar system-config-firewall de X ou system-config-firewall-tui e usar a interface gráfica fácil / curses para configurar suas regras de firewall.

Como alternativa, o seguinte /etc/sysconfig/iptables deve funcionar: 

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Execute service iptables restart quando terminar. (Você também pode usar os argumentos acima com iptables e, em seguida, executar service iptables save ).

Lembre-se, se você tiver conectividade IPv6, deverá fazer algo semelhante em /etc/sysconfig/ip6tables . system-config-firewall fará isso automaticamente por você.

    
por 05.08.2011 / 23:53

Tags

Captura de tela do cron job não está funcionando Força a aplicação no Mac para usar apenas a conexão do aeroporto