Crie uma nova cadeia que aceite todos os pacotes TCP e UDP e salte para essa cadeia a partir das regras permissivas de IP / porta individuais:
iptables -N ACCEPT_TCP_UDP
iptables -A ACCEPT_TCP_UDP -p tcp -j ACCEPT
iptables -A ACCEPT_TCP_UDP -p udp -j ACCEPT
iptables -A zone_lan_forward -d 1.2.3.0/24 -j ACCEPT_TCP_UDP
Isso adiciona a sobrecarga de algumas linhas extras, mas reduz pela metade o número de regras TCP / UDP.
Eu não omitiria o -pargumento, porque você não está apenas abrindo o firewall para o ICMP, mas também qualquer outro protocolo. Na página de manual do iptables em -p:
O protocolo especificado pode ser tcp, udp, icmp ou all, ou pode ser um valor numérico, representando um desses protocolos ou um diferente. Um nome de protocolo de / etc / protocols também é permitido.
Você pode não estar escutando em todos os protocolos, exceto para TCP, UDP, ICMP e agora , mas quem sabe o que o futuro nos reserva. Seria uma prática ruim deixar o firewall aberto desnecessariamente.
Exoneração de responsabilidade: Os comandos iptables estão em cima da minha cabeça; Não tenho acesso a uma caixa para testá-los em caixas eletrônicos.
Essa é uma solução muito elegante que não deixa o firewall aberto desnecessariamente.
Big McLargeHuge 17/05
4
Mas esse método de criação de nova cadeia falhará se a filtragem for feita através do número da porta de destino. Alguém pode sugerir como superar o problema acima mencionado?
Amor
@Amor Neste exemplo, se você usou -p alltodas as --dportregras da zone_lan_forwardcadeia, isso pode alcançar o que você está procurando. É claro que estou assumindo que não há outra maneira de entrar nessa cadeia com um protocolo não TCP / UDP devido à ACCEPT_TCP_UDPcadeia. Obviamente, essa é uma estratégia arriscada se várias pessoas tiverem acesso para modificar regras e alguém aparecer e editar suas regras sem entender essa sutileza.
Samuel Harmer
Opa. Não percebeu a ordem das correntes. Você precisaria mudar a ordem das cadeias neste exemplo também para o que eu acabei de dizer para funcionar corretamente. Então ACCEPT_TCP_UDPpula para o zone_lan_forwardqual pula para ACCEPT.
Samuel Harmer 24/11
2
Se você realmente não se importa com o tráfego ICMP (que você pode bloquear globalmente com uma regra de qualquer maneira), basta omitir o sinalizador -p e ele cobre todos os protocolos.
Devo me preocupar com o tráfego ICMP? Estou mais preocupado com o acesso HTTP.
Big McLargeHuge 17/05
Na verdade não. Você pode bloquear o ICMP (ping), se quiser, mas como ele está servindo tráfego HTTP de qualquer maneira, não faz muito sentido.
C # de Nathan C
@ NathanC, acho que o conselho para abrir TODAS as portas quando o OP está perguntando como reduzir suas regras pela metade pode levar a problemas, agora ou no futuro.
Jed Daniels #
@JedDaniels a opção -p especifica os protocolos e não as portas. A resposta abaixo tem uma alternativa se eles quiserem bloquear algo diferente de tcp & udp.
C # de Nathan C
@NathanC Sim, e remover o -p significa "abrir todos os protocolos, não apenas tcp ou udp", o que é imprudente, se não perigoso.
-p all
todas as--dport
regras dazone_lan_forward
cadeia, isso pode alcançar o que você está procurando. É claro que estou assumindo que não há outra maneira de entrar nessa cadeia com um protocolo não TCP / UDP devido àACCEPT_TCP_UDP
cadeia. Obviamente, essa é uma estratégia arriscada se várias pessoas tiverem acesso para modificar regras e alguém aparecer e editar suas regras sem entender essa sutileza.ACCEPT_TCP_UDP
pula para ozone_lan_forward
qual pula paraACCEPT
.Se você realmente não se importa com o tráfego ICMP (que você pode bloquear globalmente com uma regra de qualquer maneira), basta omitir o sinalizador -p e ele cobre todos os protocolos.
fonte