Correcto, entonces esto es una Pregunta difícil tm . Dado que todos los entornos son diferentes, es muy complicado proporcionar un conjunto de reglas de "Un tamaño para todos" en el que se pueda esperar. Cualquier configuración de este tipo, fragmentos de configuración, recomendaciones, etc., deben estar completamente ajustadas y ajustadas para que funcionen en < em> su entorno. Dicho esto, como se explica en la publicación security.blogoverflow.com (y con mucho más detalle), Reglamentos básicos en IPTables , este es un conjunto bastante básico de controles de seguridad que he desarrollado a lo largo de los años y que he estado recomendando a las personas.
## Section 1
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
## Section 2
# Force SYN checks
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# Drop all fragments
-A INPUT -f -j DROP
# Drop XMAS packets
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# Drop NULL packets
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
## Section 3
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
###
# Insert your system specific rules here
###
## Section 4
-A INPUT -j LOG --log-level 7 --log-prefix "IPTABLES Dropped: "
-A INPUT -j DROP
Sección 1
Este es tu bastante básico acepta. En general, solo desea permitir el ping y el tráfico de cualquier host local o, de lo contrario, es posible que las cosas no funcionen como se esperaba.
Sección 2
Esta es una serie de comprobaciones rápidas y sucias de paquetes maliciosos conocidos que pueden causar problemas. La única razón por la que ponemos este segundo es por razones de rendimiento.
Sección 3
Aquí permitimos que entren todos los paquetes que forman parte de una sesión existente. La mayoría de los administradores de firewall dirían que poner esto al comienzo de la configuración, las razones de rendimiento y todo eso. Sin embargo, preferiría que los paquetes no deseados se bloqueen incluso cuando forman parte de una sesión en curso.
Sección 4
Aquí está nuestro registro y denegación predeterminada. La desventaja de poner el mensaje de registro hasta el final aquí, es que no se nos notificará si se desencadenan las caídas. Podríamos subirlo a la parte superior, pero eso podría:
- Haga que nuestra configuración sea realmente desordenada
- Abrumar el motor de registro
Realmente, es tu elección. Como recomendación genérica, opté por un limpiador para que fuera más fácil de entender.