iptables - настройка роутера

Question

У меня есть маршрутизатор, для которого я настраиваю настройки. Я хочу разрешить только SSH из внутренней сети и отбросить все остальное.

Это то, что я до сих пор. Я попробовал это, и мне пришлось сбросить настройки маршрутизатора, чтобы снова подключиться к нему, поэтому я думаю, что что-то упустил:

iptables -F INPUT
iptables -t filter -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT --destination 127.0.0.1 -i lo -j ACCEPT
iptables -t filter -A INPUT -s 192.168.11.0/24 --protocol tcp  --dport $SSH_PORT -j ACCEPT
iptables -t filter -P INPUT DROP

iptables -F FORWARD
iptables -t filter -A FORWARD -s 192.168.11.0/24 --protocol tcp  -j ACCEPT
iptables -t filter -P FORWARD DROP

iptables -F OUTPUT

Это хорошая отправная точка?

Answer 1

После рассмотрения и использования этих правил более месяца, я думаю, что можно с уверенностью сказать, что правила работают. Я использую -P для установки политики по умолчанию. Я предпочитаю DROP ОТКАЗАТЬ, так как он использует меньше ресурсов и сообщает потенциальному злоумышленнику меньше информации.

Вальтер

Answer 2

Не уверен, почему у вас есть -P там.

Вот как я это сделаю:

iptables -F INPUT
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT --destination 127.0.0.1 -i lo -j ACCEPT
iptables -t filter -A INPUT -s 192.168.11.0/24 -m tcp -p tcp --dport $SSH_PORT -j ACCEPT
iptables -t filter -A INPUT -j REJECT --reject-with-icmp-host-prohibited

Вам не нужно использовать прямую цепочку, но если это скрипт, вы все равно должны сначала выполнить сброс всех цепочек.

Вы можете использовать DROP вместо REJECT в последней строке, если хотите.