Não é tão familiarizado com as tabelas ip, mas já leu um pouco sobre isso na noite passada. Quero ter certeza de que tenho o entendimento correto para o seguinte:
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133192838:21711893784]
-A INPUT -s 192.168.10.0/24 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
O que eu acredito que seja isso é aceitar tudo, desde a fonte de 192.168.10. * (o 24 significa 0-255) para conexões relacionadas / estabelecidas. Todos icmp, all localhost (lo) e, finalmente, tcp na porta 22. Se não se encaixa no acima, então é rejeitado. Eu estou olhando para isso né?
Existe um firewall NAT em cima disso que eu sei que é configurado corretamente, então essas regras da tabela ip são meio que um 'segundo estágio' se você quiser, mas eu ainda quero entender corretamente o acima.
Eu pergunto porque eu pretendo permitir porta 3306 para um ip específico (acesso ao banco de dados remotamente). Acredito que, juntamente com uma nova regra para o firewall NAT, é claro que eu também precisaria de uma regra aqui. Para isso, parece que isso fará o trabalho:
-I INPUT 6 -p tcp -s 100.100.100.100/32 --dport 3306 -j ACCEPT
em que 100.100.100.100 é o ip (32 para apenas esse ip) na porta 3306 para tcp. Adicionado na linha 6 (abaixo da regra da porta 22).
Alguém pode entrar aqui com uma explicação melhor e se meu processo de raciocínio estiver correto para as regras atuais e a regra que pretendo adicionar?
Tags iptables