Actuellement, nous utilisons essentiellement la politique par défaut OUTPUT, ACCEPT.
Cela suffit pour OUTPUT car Netfilter n'a pas besoin de règles spéciales pour démarrer le suivi des connexions avec état.
Mais si vous souhaitez filtrer le trafic entrant selon la politique de " refus par défaut ", vous pouvez le faire en basculant la INPUT
chaîne sur DROP
:iptables -P INPUT DROP
Ensuite, tout serait réglé avec seulement 2 règles :
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
Faites attention à la règle autorisant le trafic d'entrée sur l'interface de bouclage - comme je l'ai souligné dans mon blog " Pare-feu minimal pour l'utilisateur final ", sauf autorisation explicite, le trafic de bouclage ne sera pas géré par la vérification d'état "établie", par rapport au retour le trafic sur, disons, eth0
.
Pour vous assurer que cet ensemble minimal de règles est chargé " tel quel" sans interférer avec les règles qui pourraient déjà exister, il est pratique de l'utiliser iptables-restore
dans SHELL-session:
lptables-restore <<__EOF__
-P INPUT DROP
-A INPUT -j ACCEPT -i lo
-A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
__EOF__
Avant de faire cela, assurez-vous de ne pas couper votre propre connexion réseau 1 , bien que les sessions SSH déjà ouvertes devraient continuer à fonctionner normalement, les tentatives pour en ouvrir de nouvelles ne fonctionneront pas.
__
- Bien sûr, vous pouvez ajouter d'autres règles pour autoriser de telles connexions. Cela peut être aussi simple que juste
-A INPUT -j ACCEPT -p tcp --dport 22
- pas besoin de bricoler -m state
ici. N'oubliez pas non plus de vous y lptables-restore
remettre iptables-restore
avant de l'essayer;)