У Linux існує деяка кількість рішень для настройки фаєрвола, проте багато з них є насправді тільки фронтендів для настройки iptables, і деякі не зовсім вдалими. В принципі, непогано, коли можна швидко налаштувати фаєрвол, але коли ви розберетеся з iptables, ви зможете це зробити швидше і тонше. Тонка настройка iptables фронтендів зазвичай недоступна.
Сценарії здійснювати підключення до мережі
Налаштування iptables: Найпростіша конфігурація
Якщо говорити про бойові сервера, то настройка фаервола на двох серверах може сильно відрізнятися, в залежності від завдань, які виконують ці сервера. Тому я постараюся описати загальні принципи, якими можна користуватися під час налаштування фаєрвола для будь-яких серверів. Це тільки база для подальшої настройки.
В першу чергу, необхідно очистити завантажені правила:
Ці два правила дозволяють вхідні з'єднання з портів 25 / tcp і 53 / udp, тому, коли з цих портів приходять пакети за відповідним протоколом, вони будуть прийняті. Якщо ви плануєте оновлювати систему, програмне забезпечення або встановлювати пакети, необхідні для роботи, то вам доведеться вирішити з'єднання з 80 порту віддалених машин.
Ось тепер найпростіша конфігурація iptables у нас готова.
Після внесення правил в таблиці, необхідно їх зберегти. Для цього можна скористатися, наприклад, таким скриптом.
Обробка джерела з'єднання
Якщо у вас завжди використовується один і той же поштовий шлюз, через який ваш сервер відправляє пошту, то ви можете, наприклад, забороняти з'єднання з порту 25 / tcp, вказавши цей шлюз в якості джерела.