wie aus meinem Namen zu schließen ist habe ich von Debian bzw. Linux allgemein nur ein kleines Grundwissen. Aus diesem Grund bitte ich euch Profis hier mein bisheriges Firewall Script zu inspizieren.
Auf der Kiste soll FTP (is wohl doof, aber naja, es muss), HTTP, HTTPS und ssh laufen. Außerdem soll er seine Zeit mit diversen Zeitservern synchronisieren (sehr wichtig, daher derer gleich vier^^)
Als Basis diente mir wie ihr seht der Output von iptables-restore. Diesen habe ich dann noch so modifiziert:
Code: Alles auswählen
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -j ACCEPT
-A INPUT -p udp -s 81.169.163.102 --sport ntp -j ACCEPT
-A INPUT -p udp -s 81.169.163.105 --sport ntp -j ACCEPT
-A INPUT -p udp -s 195.145.119.188 --sport ntp -j ACCEPT
-A INPUT -p udp -s 130.149.17.21 --sport ntp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 21 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp --dport 20 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT
-A OUTPUT -p udp -d 81.169.163.102 --dport ntp -j ACCEPT
-A OUTPUT -p udp -d 81.169.163.105 --dport ntp -j ACCEPT
-A OUTPUT -p udp -d 195.145.119.188 --dport ntp -j ACCEPT
-A OUTPUT -p udp -d 130.149.17.21 --dport ntp -j ACCEPT
COMMIT
Beste Grüße