Da ich öfter ein Ubuntu / Debian GNU Linux installiere, hier mein Weg um die Maschine mit einem Firewall-Skript abzusichern.
#!/usr/bin/env iptables-restore
#
# To run this rule on "interface up" add the following line to
# /etc/network/interface
# pre-up iptables-restore < /etc/iptables.conf
#
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
#
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#
-A INPUT -p icmp --icmp-type 8 -s 0/0 \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
-A INPUT -p tcp --dport 22 -s 1.2.3.4/29 \
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#
COMMIT
Anstelle der „-s 1.2.3.4/29“ sollte dann als Quell-IP-Adresse der jeweilige IP-Bereich stehen, aus dem SSH Verbindungen erlaubt sein sollen.
Je nach installierten Diensten muß dann SMTP, HTTP oder mehr noch erlaubt werden.
Das Skript wird dann mit
iptables-restore < /etc/iptables.conf
aktiviert.
Um die Firewallregeln beim Systemstart automatisch zu setzen kann man es über eine „pre-up“ Anweisung in der /etc/network/interface ausführen lassen.