私のデスクトップでは、iptablesを非常に厳密に設定したいと思います。私が開始したインターネットトラフィック以外に何かを許可する理由はありません。いくつかのポートに制限することもできます。デスクトップをオフにする基本的なルールは何ですか?私に必要なのは:
- インターネットをする
- メールダウンロード
推奨ルールがありますか?
ベストアンサー1
次のルールでは、発信接続はすべて許可されますが、着信接続はブロックされます。 INPUTおよびFORWARDチェーンはデフォルトでパケットを拒否するように設定され、OUTPUTチェーンはデフォルトでパケットを許可するように設定され、最後のルールは既存の接続の一部として着信パケットを許可します(この場合は発信接続のみ)。
iptables --policy INPUT DROP
iptables --policy FORWARD DROP
iptables --policy OUTPUT ACCEPT
iptables --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
iptables --append INPUT --jump REJECT
iptables --append FORWARD --jump REJECT
発信トラフィックを制限するには、OUTPUTポリシーを拒否に変更し、特定のポートでトラフィックを許可するルールを追加する必要があります。たとえば、
iptables --policy OUTPUT DROP
iptables --append OUTPUT --protocol udp --match multiport --dports domain,bootps --jump ACCEPT
iptables --append OUTPUT --protocol tcp --match multiport --dports domain,http,https,ssh,pop3s,imaps,submission --jump ACCEPT
iptables --append OUTPUT --jump REJECT