Administrace komentářů

Osobně doporučuji následující postup:

1) udělat iptables-save do souboru někam do /root/iptables.rules

2) naučit se trochu iptables

3) doplnit do uvedeného souboru všechna žádoucí pravidla

4) tento skript 2x zkontrolovat jestli jste si náhodou nezakázal to milionkrát omílané SSH, zálohovat ho, mít ho v RCS apod.

5) udělat iptables-restore z tohoto souboru

6) pokud to funguje jak má, udělat ještě jednou iptables-save, tentokrát někam do /etc/blah kde to bude uloženo jakože konfigurace a dělat při startu iptables-restore z tohoto souboru

*) další změny (přidávání služeb, tuning) dělat opět v tom souboru /root/iptables.rules a pravidla aktualizovat pomocí iptables-restore < /root/iptables.rules, tedy už nikdy více nedělat iptables-save jakéhosi "aktuálního stavu"

beru tedy daný konfig. soubor jako zdroják programu, který bude dělat to, co jsem do něj napsal. Psaní pravidel (většinou neatomicky) z příkazové řádky a pak "daný vytvořený funkční stav" uložit se mi jeví spíš hardcore a odobně méně přehledné než napsaný skript pro iptables-restore. Rovněž pokud firewall sdílí více uživatelů, může to být výhoda (komentáře atd.). Také návrat k "bezpečnému stavu fw" pokud by v živém stavu někdo udělal binec je snadný (iptables-restore < /root/iptables.rules). Je to samozřejmě individuální, někdo se dobře vyzná v iptables -L a stačí mu to pro kontrolu aktuálního stavu.

Příklad komentovaného konfiguráku:

# default table with build-in INPUT, FORWARD and OUTPUT chains
*filter

# attemp to flush all rules in filter table
-F

# flush built-in rules
-F INPUT
-F OUTPUT
-F FORWARD

# delete all user-defined chains
-X

# --- chains ---

# default policies

# drop
-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

# --- chains for services

# ssh
-N S_SSH
-F S_SSH

# sebe povolit
-A S_SSH -s mojeip/32 -j ACCEPT
# ostatni omezit
-A S_SSH -m recent --set --name s_ssh_recent
#log and block 4th attempt
-A S_SSH -m recent --update --seconds 60 --hitcount 4 --name s_ssh_recent -m limit --limit 1/minute --limit-burst 1 -j LOG --log-level debug --log-prefix "iptables: SSH blocked: "
-A S_SSH -m recent --update --seconds 60 --hitcount 4 --name s_ssh_recent -j DROP
-A S_SSH -j ACCEPT

# www
...

# --- Main ----

# loopback input/output

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# panic

#COMMIT

# --- input chain

# not from lo, but destination 127.0.0.1/8
-A INPUT -d 127.0.0.0/8 -j DROP

# accept all from localhost
-A INPUT -s 127.0.0.1 -j ACCEPT

# disable some ports
-A INPUT -p tcp -j DENIEDPORTS

# DROP/ACCEPT packets depending on the state of the connection
-A INPUT -j KEEPSTATE

...

# --- input chain services

# ssh
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j S_SSH

# http
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j S_WWW

...

# --- output chain

...

# --- output chain services

...

# --- logging ---

# LOG all superfluous packets

-A INPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined input: "
-A FORWARD -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined forward: "
-A OUTPUT -m limit --limit 5/minute --limit-burst 5 -j LOG --log-level debug --log-prefix "iptables: undefined output: "

# but finally be kind and allow other output
-A OUTPUT -j ACCEPT

COMMIT