Penso di aver quasi completato la configurazione di iptables sul mio sistema CentOS 5.3. Ecco la mia sceneggiatura ...
# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains
# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP
# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT
# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Block all other traffic
iptables -A INPUT -j DROP
Per il contesto, questa macchina è un host di app Web del server privato virtuale.
In una domanda precedente , Lee B ha detto che avrei dovuto "bloccare un po 'di più l'ICMP". Perché non bloccarlo del tutto? Cosa accadrebbe se lo facessi (cosa brutta cosa accadrebbe)?
Se non ho bisogno di bloccare ICMP, come posso fare per bloccarlo di più?