Tôi nghĩ rằng tôi gần như đã hoàn tất thiết lập iptables trên hệ thống CentOS 5.3 của mình. Đây là kịch bản của tôi ...
# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains
# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP
# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT
# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Block all other traffic
iptables -A INPUT -j DROP
Đối với ngữ cảnh, máy này là máy chủ ứng dụng Web Máy chủ riêng ảo.
Trong một câu hỏi trước đây , Lee B đã nói rằng tôi nên "khóa ICMP thêm một chút nữa". Tại sao không chỉ chặn nó hoàn toàn? Điều gì sẽ xảy ra nếu tôi làm điều đó (điều tồi tệ sẽ xảy ra)?
Nếu tôi không cần chặn ICMP, làm thế nào tôi có thể khóa nó lại nhiều hơn?