IP Tables - Konfiguracja

Question

Witam. Potrzebuję skonfigurować firewall w linux'ie, konkretnie chodzi o iptables. Czy byłby mi ktoś w stanie napisać poniższe reguły? Takie przykładowe, z resztą mam nadzieję sobie poradzę:
A) OUTGOING:
1. Zezwalaj na wszystkie połączenia.
B) INCOMING:
1. Zablokuj wszystkie połączenia.
2. Odblokuj wszystkie porty w sieci LAN.
3. Odblokuj porty 80 i 443 w sieci WAN.

PS. Da się to jakoś wpisać do pliku konfiguracyjnego, czy muszę umieścić to w skrypcie i uruchamiać ten skrypt przy starcie systemu?

Answer 1

Zainstaluj sobie gufw i wszystko sobie ustawisz graficznie. Prosto i łatwo.

Comments

Raczej potrzebuję wersję bez interfejsu graficznego.

---

I am also using the gufw firewall, 

Answer 2

może spróbuj z UFW na przykłądzie artykułu https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-18-04

Comments

Próbowałem, większość komend kończy się komunikatem:
[Errno 2] ip6tables v1.8.7 (nf_tables): Could not fetch rule set generation id: Invalid argument.
Dlatego chciałem wersję do iptables, bo inne programy i tak używają w gruncie rzeczy iptables. Podejrzewam że w tej nowszej wersji jest inna składnia poleceń w iptables, dlatego ufw nie działa. 

Answer 3

Jeśli używasz tablicy “filter” (domyślnej) w ‟iptables”, to tam masz trzy ‘chains’: “INPUT”, “FORWARD”, “OUTPUT”.

filter:
                  This  is  the  default  table  (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).

Najpierw potrzebujesz ustawić domyślne ‘policy’ (opcja ”-P”):

1. dla “INPUT” – “DROP”
2. dla “OUTPUT” – “ACCEPT”
3. dla “FORWARD” – takie, jak potrzebujesz dla pakietów przechodzących przez komputer do innej sieci, zakładam, że “ACCEPT”

Następnie zanim zadziała to domyślne ‘policy’ potrzebne są reguły w ‘chain’ “INPUT”, które zezwolą na połączenia przychodzące z interfejsu WAN na porty 80 i 443 oraz połączenia przychodzące z sieci LAN.

Zakładam, że masz ustawione NAT w tabeli “nat”, więc nie potrzeba dodatkowo zabezpieczać przed połączeniami przychodzącymi z WAN do sieci LAN.

Resztę doczytaj w ‘manualu’ ‟iptables”.

U mnie jest program “iptables-save” oraz “iptables-restore”, które wystarczy uruchomić z odpowiednimi opcjami w skrypcie przy uruchamianiu, zamykaniu systemu.

Comments

Zakładam, że masz ustawione NAT w tabeli “nat”, więc nie potrzeba dodatkowo zabezpieczać przed połączeniami przychodzącymi z WAN do sieci LAN.

No właśnie to jest serwer linuxowy na mikro komputerze, ale jest dostępny z zewnątrz, dlatego potrzebuję ustawić te reguły co napisałem w pytaniu.

---

Reguły do ustawienia zależą od kształtu sieci. Tak nie da się nic więcej powiedzieć.