Firewall dla stacji roboczej

W przypadku stacji roboczej najważniejsze jest to aby komputer nie był widoczny z zewnątrz (blokował wszystkie połączenia inicjowane z zewnątrz) a jednocześnie pozwalał na połączenia wychodzące i je obsługiwał. Efekt ten uzyskamy korzystając z modułu kontroli stanu połączenia i pozwolimy połączeniom wychodzącym inicjować połączenia a połączenia wchodzące wpuścimy tylko te zainicjowane już i ustawione.

Firewall taki będzie miał postać:

iptables -F

iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

W przypadku skanowania z zewnątrz uzyskamy następującą informację:

nadzorca:/etc/init.d# nmap 195.26.22.67

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0

Nmap run completed -- 1 IP address (0 hosts up) scanned in 46 seconds
nadzorca:/etc/init.d# nmap -P0 195.26.22.67

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
All 1554 scanned ports on terminal-3-67.retsat1.com.pl (195.26.22.67) are: filtered

Nmap run completed -- 1 IP address (1 host up) scanned in 1701 seconds

Dodaj komentarz