Administrace komentářů

V tomto případě možná ani není třeba vyčerpávajícím způsobem rozepisovat jednotlivé možnosti, co odkud kam zakázat (mezi LANkami navzájem). Spíš bych selektivně povolil, co se smí, a v chainu FORWARD bych dal policy DROP. Nebo pokud chceme REJECT, tak to uvést jako poslední pravidlo, které matchne všecko, dřív než se uplatní "policy".

Konkrétně:

1) SNAT na -o $OUTSIDE_INTERFACE (a taky -s ADRESA/MASKA nebo -i $INSIDE_INTERFACES)

2) povolit všechno ven, zpátky jenom -m state --state ESTABLISHED,RELATED

3) netuším, jestli se dá jako policy zadat REJECT --reject-with icmp-port-unreachable . Kdyžtak rozdělit do dvou pravidel:

iptables -A FORWARD -j REJECT --reject-with icmp-port-unreachable

iptables -P FORWARD DROP

Možná ještě před tuhle dvojici dát logovací pravidlo, pokud nás zajímají pokusy o narušení.

Jinak obecně úvodní rozskok na všechny možnosti N^2-N, kde N je počet rozhraní, u ručně psaných firewallových skriptů s IPtables, je fajn věc. Mě to třeba zjednodušuje orientaci (věc názoru a stylové úpravy skriptu) a optimalizuje to délku procházených chainů (snižuje zátěž CPU) - neprocházejí se všechna pravidla sekvenčně, ale jenom daná větev odkud-kam. Ideovou inspiraci si můžete opatřit třeba tady (bacha na rozdíl v chování chainů INPUT/OUTPUT u ipchains a iptables):

starobylé IPChains HOWTO, kapitola 7.4

Plus se tam dá vymyslet spousta dalších pentliček pro kontrolu duševního zdraví provozu. Viz třeba:

IPTables Tutorial, příklady skriptů

Zajímavý je například custom chain nazvaný "bad_tcp_packets", "číslování kapitol" ve firewallovém skriptu apod.