Prosty firewall dla stacji roboczej

[Yampress]

Przedstawiam dziś bardzo prosty firewall używany przez mnie na desktopie. Jeśli nie potrzebujemy udostępniać komuś samby, ftp lub innych usług w sieci lokalnej, to taki firewall w zupełności wystarczy.


DO DZIEŁA
Wszystkie poniższe polecenia wykonuje jako root.


Wpisy dodaje do /etc/rc.local


Kod:

echo "Starting firewall"

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Wpisy umieścić przed linijką exit 0 w tym pliku



Co robi taki firewall...

Na początku przekazuje komunikat, że się uruchamia Potem blokuje wszystko co chce wejść do naszego komputera oraz pozwala wejść tym połączeniem, które sami nawiązaliśmy... Nic więcej nie potrzeba.


I to by było na tyle. Firewall uruchamia się podczas startu systemu. Usługi nie trzeba zamykać, gdyż nie pełni ważnych funkcji na systemie plików ani funkcji serwerowych/bazodanowych. W końcu desktop nie ma pootwieranych żadnych gniazd i nie wpuszcza na nie żadnego ruchu. Wyłącza się komputer firewall wraz z zamknięciem systemu znika z pamięci.

[Kunero]

Czy mógłbyś pokazać co wyświetla poniższe polecenie?

Kod: Zaznacz cały

#iptables -L

Jestem ciekaw jak to u Ciebie wygląda, bo jeśli tak samo jak u mnie to jestem spokojny.

[lizard]

Skoro temat został odkopany, proponuję zainstalować pakiet iptables-persistent i zastąpić powyższy skrypt plikiem /etc/iptables/rules.v4:

Kod: Zaznacz cały

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Wszystkie zmiany w regułach można dokonywać poleceniem iptables i zapisywać - jako root - do powyższego pliku poleceniem iptables-save > /etc/iptables/rules.v4. Można też modyfikować plik reguł i wprowadzać je w życie poleceniem - również jako root - iptables-restore < /etc/iptables/rules.v4.

[Yampress]

[root@debian /home/yampress]# iptables -v -L
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
238 34627 ACCEPT all -- lo any anywhere anywhere
23816 28M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@debian /home/yampress]#