Как мне заблокировать все порты кроме 22 и 80 в iptables Fedora?

Question

Я пытаюсь разрешить только порт 22 TCP/UDP и порт 80 TCP/UDP из любой точки мира, используя Fedora 15 iptables , а все остальное никогда не будет доступно и не будет сканироваться из общедоступной сети.

Но это никогда не работает для меня, в конце концов я отключил его, потому что боюсь, что он заблокирует мне доступ даже к порту 22.

Итак, мой вопрос, как я могу сделать это в Fedora 15? Блокировать все, кроме 22, 80 TCP/UDP?

iptables -P INPUT ACCEPT

# Fresh start
iptables -F
# Localhost/ethernet 0 / yum installation allow
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

# SSH
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#iptables -A INPUT -s aa.bb.aa.bb -d xx.yy.xx.yy -p tcp -m tcp –dport 22 -j ACCEPT
iptables -A INPUT -d xx.yy.xx.yy -p tcp -m tcp –dport 22 -j ACCEPT

# other
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# show
iptables -L -v

Answer 1

Самый простой способ отредактировать конфигурацию брандмауэра в Fedora - использовать инструмент system-config-firewall . Просто запустите system-config-firewall из X или system-config-firewall-tui и используйте простой графический интерфейс /curses для настройки правил брандмауэра.

В качестве альтернативы, следующий /etc/sysconfig/iptables должен помочь:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Запустите service iptables restart когда закончите. (Вы также можете использовать приведенные выше аргументы с iptables а затем запустить service iptables save).

Помните, что если у вас есть подключение к IPv6, вы должны сделать нечто подобное в /etc/sysconfig/ip6tables . system-config-firewall автоматически сделает это за вас.