As regras do Iptables não funcionam como esperado

1
  1. Eu preciso bloquear o acesso ao meu servidor do lado de fora da minha rede privada.

  2. Eu preciso permitir que os pings do meu servidor saiam apenas para minha rede privada e respondam pings iniciados na minha rede privada também.

Mas com essas regras eu configurei, ele não funciona porque me impede de fazer ping e meu servidor não responde a pings iniciados na minha rede privada.

iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j REJECT

iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.1.0/24 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -j REJECT
    
por Samirtow 13.03.2016 / 22:16

1 resposta

0

Considere o uso de DROP em vez de REJECT.

As cadeias têm uma política que diz o que deve acontecer com os pacotes que não correspondem a nenhuma regra, use isso em vez de uma regra final.

Essas regras não permitem que o SSH funcione, como você menciona apenas na cadeia INPUT, e o tráfego flui nos dois sentidos.

O rastreamento de conexão do kernel é bom o suficiente, que eu recomendaria apenas ter as regras '-m state - state ESTABLISHED, RELATED -j ACCEPT' em INPUT e OUTPUT. Então você só precisa considerar quem inicia as conexões ao adicionar novas regras.

    
por 14.03.2016 / 00:42