7.3. Типичные фильтры iptables

Не пустить удалённых злоумышленников в локальную сеть — одна из самых важных задач сетевой безопасности, если не самая важная. Целостность сети должна быть защищена от удалённых злоумышленников с помощью точных правил брандмауэра. Однако, так как политика по умолчанию блокирует все входящие, исходящие и пересылаемые пакеты, брандмауэр/шлюз и пользователи локальной сети не способны установить соединение друг с другом или с внешним миром. Чтобы пользователи выполняли связанные с сетью функции и использовали сетевые приложения, администраторы должны открыть определённые порты.

Например, чтобы разрешить доступ к 80 порту брандмауэра, добавьте следующее правило:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 

Это позволит просматривать веб-содержимое сайтов, работающих на порту 80. Чтобы открыть доступ к защищённым веб-сайтам (например, https://www.example.com/), вы также должны открыть порт 443.

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT 

Иногда вам нужно вам организовывать удалённый доступ к локальной сети снаружи. Для шифрования соединения с удалённой сетью могут использоваться защищённые службы, например, SSH и CIPE. Администраторы сетей с PPP-ресурами (например, с модемным пулом) могут безопасно организовать модемные подключения в обход барьеров брандмауэра, так как это прямые соединения. Однако для пользователей, подключающихся из открытой внешней сети, следует принять специальные меры. Вы можете разрешить в IPTables подключения удалённых клиентов SSH и CIPE. Например, чтобы разрешить удалённый доступ SSH, можно использовать следующие правила:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Следующие правила разрешают устанавливать CIPE-соединение снаружи (замените x номером вашего устройства):

iptables -A INPUT -p udp -i cipcbx -j ACCEPT
iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT

Так как в CIPE используется собственное виртуальное устройство, передающее UDP-пакеты, соединение с интерфейсом cipcb разрешается этим правилом, а не правилом, открывающим порты источника и получателя (хотя их можно использовать вместо указания устройства). За сведениями об использовании CIPE обратитесь к главе 6 Виртуальные частные сети.

Вам может понадобиться определять правила и для других служб. За исчерпывающей информацией о службе IPTables и её различных параметрах обратитесь к Справочному руководству по Red Hat Enterprise Linux.

Эти правила открывают доступ к стандартным безопасным службам на брандмауэре; они не разрешают доступ к этим службам узлов, расположенным за брандмауэром. Чтобы открыть доступ к этим службам из внутренней сети, вы можете использовать NAT в сочетании с правилами IPTables.