- Imposta la politica predefinita per negare tutto. (
iptables -P INPUT DENY
)
- Consenti ICMP
- Aggiungi i set di regole minimi richiesti per i servizi di cui hai bisogno.
Se disponi di porte utilizzate solo da macchine locali, imposta le regole di autorizzazione solo per quella combinazione di porte e intervallo IP.
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
Anche il traffico in uscita ha bisogno di regole (consentire le query DNS, consentire ai servizi di rispondere alle connessioni, ecc.). L'utilizzo di regole correlate / stabilite può aiutare con questo. Anche tra i firewall altrimenti bloccati, è comune tutto il traffico in uscita per semplicità.
Se hai tempo, un caso ideale, anche se laborioso, sarebbe usare SELinux per limitare ulteriormente le cose, consentendo solo alle librerie del resolver DNS di interrogare DNS, ecc.
Come per "proteggere una porta aperta" che scende alla configurazione del software ascoltandolo correttamente e assicurando che vengano affrontati i problemi di sicurezza al suo interno.