Tentativo di utilizzare iptables per bloccare tutto il traffico tranne SSH e RDP

EDIT: script di lavoro per utilizzare iptables per bloccare tutto il traffico in entrata / in uscita ad eccezione di ssh (porta 22) e RDP (porta 3389):

#!/bin/sh
# Block all incoming/outgoing traffic except for ssh and rdp

iptables -Z # zero counters
iptables -F # flush (delete) rules
iptables -X # delete all extra chains

# Set default filter policy to DROP
iptables -P INPUT   DROP
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP

# Allow DNS
iptables -A INPUT --proto udp --sport 53 --jump ACCEPT
iptables -A OUTPUT --proto udp --dport 53 --jump ACCEPT
iptables -A OUTPUT --proto tcp --dport 53 --jump ACCEPT

# Allow unlimited traffic on loopback (localhost)
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow ssh (22) and rdp (3389)
iptables -A INPUT  -p tcp -m multiport --dports 22,3389 -j ACCEPT

# Continue accepting packets after connection is established (and moved to some random >1024 port)
iptables -A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT --match state --state ESTABLISHED,RELATED -j ACCEPT

Disfare:

#!/bin/sh

# Set default filter policy to ACCEPT
iptables -P INPUT   ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT

iptables -Z # zero counters
iptables -F # flush (delete) rules
iptables -X # delete all extra chains

Ti manca qualcosa come:

iptables -A INPUT  --match state --state ESTABLISHED,RELATED --jump ACCEPT
iptables -A OUTPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

per continuare ad accettare i pacchetti dopo aver stabilito la connessione. Quando succede che la connessione viene spostata sul lato server su una porta casuale> 1024, ecco perché accettare i pacchetti sulla porta 22 e 3389 non è sufficiente.

Per consentire le ricerche DNS:

iptables -A INPUT  --proto udp --sport 53 --jump ACCEPT
iptables -A OUTPUT --proto udp --dport 53 --jump ACCEPT
iptables -A OUTPUT --proto tcp --dport 53 --jump ACCEPT

Per impostare la regola per più porte contemporaneamente (così --sportso --dports) è necessario abilitare il multiportmodulo. Altrimenti iptables si lamenterà dell'opzione sconosciuta "--dports" . Quindi, per consentire connessioni SSH e RDP in entrata su una riga:

iptables -A INPUT --proto tcp -m multiport --dports 22,3389 --jump ACCEPT

Inoltre, poiché si imposta il criterio predefinito su DROP, non sono necessarie le ultime due righe in cui è stato impostato DROP aggiuntivo per le connessioni in / out. Capisco che ti facciano sentire più sicuro, ma è come impostare il nome host, e anche cron job per impostarlo per ogni minuto. In realtà questo può portare a problemi in futuro, quando ti dimentichi di quelle due righe e aggiungi alcune altre regole, e rimarrai perplesso sul perché non funzionano.