Podstawowe informacje¶

Najbardziej podstawową firewall'a iptables jest wprowadzenie reguły akceptacji ruchu wchodzącego (w kierunku INPUT) w stanie ESTABLISHED lub RELATED. Resztę ruchu wchodzącego możemy zablokować. Będzie to najbardziej prymitywna konfiguracja (blokowane SSH, ping, itd.).

Konfiguracja¶

W przypadku konfiguracji dla całego serwera¶

1. Dodanie reguły zezwalania ruchu zestawionego, akceptacji ruchu z lokalnego hosta:

   iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   iptables -A INPUT -i lo -j ACCEPT
   

2. Blokowanie reszty wchodzącego ruchu

   iptables -A INPUT -j DROP
   

3. Zapisanie utworzonych reguł (potrzebujemy paczkę iptables-persistent):

   netfilter-persistent save
   

W przypadku konfiguracji dla poszczególnego interfejsu sieciowego¶

1. Dodanie reguły zezwalania ruchu zestawionego:

   iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -i <nazwa_interfejsu>
   

2. Blokowanie reszty wchodzącego ruchu

   iptables -A INPUT -j DROP -i <nazwa_interfejsu>
   

3. Zapisanie utworzonych reguł (potrzebujemy paczkę iptables-persistent):

   netfilter-persistent save