Конфигурирование iptables
Доброго времени суток всем!
Уважаемый SATtva с год назад в рамках обсуждения настройки брандмауэра сказал, что виндовый способ мышления меня когда-нибудь погубит. Надеюсь, мне удалось изменить его (теперь ОС, загружающаяся по умолчанию, Debian) :)
После прочтения статей Oskar'а Andreasson'а в переводе Андрея Киселева, а также материалов (не всех ещё) с официального сайта iptables, некоторых других составил набор правил. Но, отдавая себе отчёт в том, что всевозможных тонкостей значительно больше, чем мне известно, хотел бы просить у профессионалов оценить степень защиты, даваемую нижеприведенными настройками для персонального компьютера, указать какие ещё правила для повышения защищённости можно добавить.
Например, так ли уж нужно использование помимо udp ещё и tcp протокола для связи с dns сервером в случае с персональнм компьютером?
Спасибо
Запрещать надо руту (лучше просто всем, поскольку не логично запрещать что-либо конкретно руту).
Я согласен, что ICMP лучше блокировать, но в данном конкретном случае я решил, что это не слишком опасно и потому оставил. Всё же интересно услышать детали — что вы имеете в виду.
Действительно, владельцем ICMP пакетов будет всегда рут, кто бы их ни посылал. Оставлял чисто для быстрой проверки проблем с инетом и не подумал, хотя на стандартных конфигурациях всегда отключал ICMP. Видимо, ошибся из-за того, что забыл про привязку host:IP к конкретному протоколу. Стандартные краш-тесты тоже ничего не показали, т.к. резолвинг был закрыт из-за бана udp. Однако ж, по ICMP пакет должен был пойти, увы. Окончательно протестить не удалось — ICMP почему-то сейчас никак не работает, даже с отключенным fw.