Règles iptables strictes / détaillées pour i2p


3

Je pense avoir bien compris le faq i2p, et cela semble fonctionner (ajout du libellé du faq suivi des règles, dans l’ordre, et changement de mon numéro de port unique en port):

# Outbound UDP from the random port noted on the configuration page
# to arbitrary remote UDP ports, allowing replies
-A OUTPUT -p udp --sport PORT -j ACCEPT

# Outbound TCP from random high ports to arbitrary remote TCP ports
-A OUTPUT -p tcp --sport 9000:31000 -j ACCEPT

# Inbound UDP to the port noted on configuration page from arbitrary locations
-A INPUT -p udp --dport PORT -j ACCEPT

# Inbound TCP to the port noted on configuration page from arbitrary locations
-A INPUT -p tcp --dport PORT -j ACCEPT

# Outbound UDP on port 123, allowing replies
-A OUTPUT -p udp --sport 123 -j ACCEPT

Mais puisque j'ai un utilisateur i2p et tous, est-ce que ce serait peut-être mieux?

-A INPUT -j ACCEPT -m owner --uid-owner i2p
-A OUTPUT -j ACCEPT -m owner --uid-owner i2p

L'ancien est-il plus sécurisé car il ne permet pas à l'utilisateur de passer librement à travers le pare-feu comme bon lui semble? Ou bien ce dernier est-il plus sécurisé car seuls les ports utilisés par l'utilisateur seront ouverts à tout moment?

En outre, je suppose que l'état NEW, ESTABLISHED, RELATED est le même, mais peut-être que certains devraient simplement être ESTABLISHED ou quelque chose comme la règle sortante pour TCP sur la plage de ports 9000 à 31000?

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.