Witam,
czym różnią się dodatkowe firewall'e od własnych reguł w iptables?
Dobrze skonfigurowane iptables zapewnia bezpieczeństwo bez dodatkowych firewalli?
#!/bin/bash
#Czyszczenie dotychczasowych regul
iptables -F
iptables -Z
iptables -X
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
#Odrzucanie polaczen nieprzypisanych w firewall
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#Przypisnie interfejsow do zmiennych
LAN="eth1"
INTERNET="eth0"
DMZ="eth2"
#NAT
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
##INTERNET-eth0
#Zezwol na polaczenie SSH
iptables -A INPUT -i $INTERNET -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o $INTERNET -p tcp --sport 22 -j ACCEPT
#Zezwol na pingowanie
iptables -A INPUT -i $INTERNET -p icmp -j ACCEPT
iptables -A OUTPUT -o $INTERNET -p icmp -j ACCEPT
#Zezwol na polaczenie z DNS Ostatnia reguła zezwala na przepuszczanie odpowiedzi z serwera DNS zamieszczonego w Internecie
iptables -A OUTPUT -o $INTERNET -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i $INTERNET -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Zezwol na polaczenia http. Przychodzace tylko nawiazane poprzez wychodzace
iptables -A OUTPUT -o $INTERNET -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $INTERNET -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
##LAN-eth1
#Zezwol na pingowanie z LAN do INTERNET
iptables -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT
iptables -A FORWARD -i $INTERNET -o $LAN -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
#Zezwol SSH
iptables -A INPUT -i $LAN -j ACCEPT
iptables -A OUTPUT -o $LAN -j ACCEPT
#Zezwol na polaczenie z DNS Ostatnia reguła zezwala na przepuszczanie odpowiedzi z serwera DNS zamieszczonego w Internecie
iptables -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $INTERNET -o $LAN -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
#HTTP
iptables -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $INTERNET -o $LAN -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
##DMZ-eth2