Da ich öfter ein Ubuntu / Debian GNU Linux installiere, hier mein Weg um die Maschine mit einem Firewall-Skript abzusichern.
#!/usr/bin/env iptables-restore # # To run this rule on "interface up" add the following line to # /etc/network/interface # pre-up iptables-restore < /etc/iptables.conf # *filter :FORWARD DROP [0:0] :INPUT DROP [0:0] :OUTPUT ACCEPT [0:0] # -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # -A INPUT -p icmp --icmp-type 8 -s 0/0 \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # -A INPUT -p tcp --dport 22 -s 1.2.3.4/29 \ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # COMMIT
Anstelle der „-s 1.2.3.4/29“ sollte dann als Quell-IP-Adresse der jeweilige IP-Bereich stehen, aus dem SSH Verbindungen erlaubt sein sollen.
Je nach installierten Diensten muß dann SMTP, HTTP oder mehr noch erlaubt werden.
Das Skript wird dann mit
iptables-restore < /etc/iptables.conf
aktiviert.
Um die Firewallregeln beim Systemstart automatisch zu setzen kann man es über eine „pre-up“ Anweisung in der /etc/network/interface ausführen lassen.