En mi máquina hay servicios web a los que se puede acceder desde cualquier PC conectada al mismo segmento de red (WiFi, por ejemplo). Quiero utilizar IPtables en la máquina para evitar que los hosts de Internet accedan a los servicios web.
¿Con qué reglas debo configurar IPtables?
¿Cómo puedo proteger un puerto que siempre está abierto?
iptables -P INPUT DENY ) Si tiene puertos que solo usan las máquinas locales, establezca reglas de permiso para esa combinación de puerto y rango de IP solamente.
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
El tráfico de salida también necesita reglas (permitir consultas de DNS, permitir que los servicios respondan a las conexiones, etc.). Usar reglas relacionadas / establecidas puede ayudar con esto. Incluso entre los cortafuegos bloqueados, permitir que todo el tráfico saliente por simplicidad sea común.
Si tiene tiempo, un caso ideal aunque laborioso sería utilizar SELinux para restringir aún más las cosas, por ejemplo, permitiendo que las bibliotecas de resolución de DNS consulten DNS, etc.
En cuanto a la "protección de un puerto abierto" que se reduce a configurar el software escuchándolo correctamente y garantizando que se solucionen los problemas de seguridad dentro de él.
iptables es adecuado para esto, pero hay un par de enfoques que tomaría primero;
0.0.0.0 , o simplemente * ). En su lugar, debería establecer esto en 192.168.0.88 o similar. Allow From . Otros demonios web tienen otros mecanismos de configuración. Finalmente, si desea utilizar iptables , está buscando un par de reglas que parezcan;
iptables -A INPUT -p tcp --dport 80 --source 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP