Mám (neprodukční) stroj, kde mají externí podporovatelé přístup k shellu (non-root). Chci jim zabránit v dalším pokračování do naší sítě z tohoto stroje pomocí iptables.
„Normální“ firewall-gui blokuje pouze příchozí provoz. Jak mohu nastavit pravidla jako „přijmout veškerý příchozí provoz (plus odezvu), ale povolit pouze nový odchozí provoz pro konkrétní cíle (např. snmp-traps na monitorovací server)“?
OS je CentOS 5
Přijatá odpověď:
Existují dva způsoby, jak zrušit veškerý odchozí provoz kromě toho, co výslovně definujete jako PŘIJÍMAT. Prvním z nich je nastavení výchozí zásady pro zrušení řetězce OUTPUT.
iptables -P OUTPUT DROP
Nevýhodou této metody je, že když je řetězec vyprázdněn (všechna pravidla odstraněna), veškerý odchozí provoz bude zrušen. Druhým způsobem je umístit na konec pravidlo DROP „přikrývky“. řetězce.
iptables -A OUTPUT -j DROP
Bez toho, abych přesně věděl, co potřebujete, nemohu nabídnout radu, co přijmout. Osobně používám metodu umístění výchozího pravidla DROP na konec řetězce. Možná budete muset prozkoumat, jak vaše GUI nastavuje pravidla, jinak to může být v rozporu s tradičními způsoby CLI obnovy pravidel při zavádění (jako je /etc/sysconfig/iptables).