Actuellement, nous utilisons la politique par défaut de OUTPUT, ACCEPT.
C'est suffisant pour OUTPUT car Netfilter n'a pas besoin de règles spéciales pour démarrer le suivi des connexions avec état.
Mais si vous souhaitez filtrer le trafic entrant en fonction de " refus par défaut "Il est possible de le faire en changeant de politique INPUT
-chaîne à DROP
: iptables -P INPUT DROP
Ensuite, tout sera réglé avec seulement 2 règles :
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
Prêtez attention à la règle autorisant le trafic d'entrée sur l'interface loopback - comme je l'ai souligné dans mon billet " Pare-feu minimal pour l'utilisateur final "Sauf autorisation explicite, le trafic de bouclage ne sera pas traité par la vérification de l'état "établi", contrairement au trafic de retour, par exemple, eth0
.
Veiller à ce que cet ensemble minimal de règles est chargé " en l'état "sans interférer avec les règles qui existent déjà, il est pratique d'utiliser l'outil iptables-restore
dans la session Shell :
lptables-restore <<__EOF__
-P INPUT DROP
-A INPUT -j ACCEPT -i lo
-A INPUT -j ACCEPT -m state --state RELATED,ESTABLISHED
__EOF__
Avant cela assurez-vous que vous ne couperez pas votre propre connexion au réseau 1 Bien que les sessions SSH déjà ouvertes continuent à fonctionner normalement, les tentatives d'ouverture de nouvelles sessions ne fonctionneront pas.
__
- Bien entendu, vous pouvez ajouter d'autres règles pour autoriser de telles connexions. Cela peut être aussi simple que
-A INPUT -j ACCEPT -p tcp --dport 22
- il n'est pas nécessaire de bricoler -m state
ici. N'oubliez pas non plus de fixer lptables-restore
retour à iptables-restore
avant de l'essayer ;)