volcom
(usa Debian)
Enviado em 23/06/2010 - 15:18h
Pessoal,
Não sou grande conhecedor de Iptables (ainda!)
Normalmente uso/crio firewalls para utilização em Proxys com base em regras que já existem em outros servidores, portanto com FORWARD, OUTPUT, INPUT e tudo mais que temos direito, por exemplo:
# Permite ssh para o firewall
iptables -A INPUT -p tcp -i eth1 -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth1 -d 192.168.1.0/24 --sport 22 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -s 192.168.1.0/24 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -o eth1 -d 192.168.1.0/24 --sport 22 -j ACCEPT
Mas como podem ver sempre trabalhando com rede local.
Porem hoje me deparei com um "desafio", pois temos um servidor Debian hospedado nos EUA rodando alguns serviço (FTP, HTTP, POP, SMTP e claro SSH) com somente uma placa de rede.
Minha dúvida (e medo, pois não tenho como remover as regras) é como devem ser as regras para esse firewall levando-se em consideração que preciso bloquear as portas de fora pra dentro sem correr risco de perder contato com o servidor via SSH.
Gostaria de pelo menos um modelo em um desses protocolos/portas para iniciar meus testes. Depois com mais calma restringir esse acesso somente para meus IPs.
Ah, para evitar a perda de contato caso eu faça alguma besteira, pensei em colocar no cron os comandos que limpam as regras do iptables, o que acham? hehe
# Limpa Regras nas tabelas Filters e NAT
iptables -F
iptables -F -t nat
Espero que me ajudem ou me deixem mais seguro pelo menos.
Obrigado!