25.10.2012, 16:52
Od jakiegoś czasu męczę się z konfiguracją. Opierając się na jednym z poradników mam takie reguły.
#Wyczyść istniejące reguły, nie chcemy narobić bałaganu
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
#Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny.
iptables -P OUTPUT ACCEPT
#Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne)
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
#Otwieramy porty dla usług, które mają być dostępne dla świata. Np. http
# iptables -A INPUT -p PROTOKÓŁ --dport NUMER PORTU -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
1. Po co dodatkowo otwierać port 80, skoro bez tego wpisu http działa bez problemu (przynajmniej dotychczas)?
2. Skaner online pokazuje mi, że ten port jest zamknięty. Co zrobić, aby go otworzyć?
#Wyczyść istniejące reguły, nie chcemy narobić bałaganu
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
#Odrzucenie ruchu wchodzącego
iptables -P INPUT DROP
#Odrzucenie ruchu przekazującego
iptables -P FORWARD DROP
#Akceptacja ruchu wychodzącego. Zakładamy, że ruch który wychodzi od nas jest bezpieczny.
iptables -P OUTPUT ACCEPT
#Akceptacja ruchu na loopback, nasze usługi muszą mieć możliwość wzajemnie się komunikować.
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Akceptujemy pakiety powiązane z danymi których wysłanie zainicjowane było przez nasz serwer (to co my nawiązujemy jest bezpieczne)
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
#Otwieramy porty dla usług, które mają być dostępne dla świata. Np. http
# iptables -A INPUT -p PROTOKÓŁ --dport NUMER PORTU -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
1. Po co dodatkowo otwierać port 80, skoro bez tego wpisu http działa bez problemu (przynajmniej dotychczas)?
2. Skaner online pokazuje mi, że ten port jest zamknięty. Co zrobić, aby go otworzyć?