Eu escrevi uma postagem no blog sobre as regras básicas do Iptables para o usuário de área de trabalho Design de firewall com estado . Mas pre kernel 2.6.39 (que inclui ipset
e você pode querer usar isso para whitelisting IP's se você tiver mais de 10 para whitelist (onde 10 é arbitrário)).
Primeiro, identifique o estado que sabemos que queremos aceitar ou descartar e interfaces.
iptables -P FORWARD DROP # we aren't a router
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -P INPUT DROP # Drop everything we don't accept
Se você quiser apenas fazer uma permissão apenas por IP, sem estado
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
é provável que você tenha problemas ao fazer isso, e sugiro usar o estado para facilitar sua vida. Por exemplo, não permitir -i lo
e -o lo
certamente causará problemas para certas aplicações.