![Jefferson Diego Jefferson Diego](//static.vivaolinux.com.br/imagens/fotos/Unitrix_Fate.jpg)
Diede
(usa Debian)
Enviado em 20/10/2009 - 09:51h
Como sua máquina é a 192.168.10.2, você pode ignorar os IP's nas regras.
Deixe desta forma:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
#PS: Quem responde com sport = 80 é só o servidor, não você.
#Não precisa por IP na chain OUTPUT.
#Não precisa por "-d 0/0 " ele é o padrão.
iptables -A OUTPUT -p ICMP -i lo --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p tcp -d login.live.com -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
#Quem responde na sport 1863 é o servidor
#iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
PS:
Na verdade, você está abrindo apenas portas para saída, o que não implica em vulnerabilidade.
Se sua máquina for um gateway, daí a história é diferente, mas ao que vejo é apenas sua máquina, certo?