debian router - eth0, eth1, tun0 - i miei iptables sono sicuri?

0

Ho un router Debian collegato direttamente a Internet. Ha 3 interfacce: eth0 (internet / wan), eth1 (lan), tun0 (vpn).

Tutto il traffico dovrebbe essere indirizzato tramite tun0 vpn. È un'installazione debian minima con isc-dhcp-server installato per gli indirizzi IP eth1 (lan).

Le regole della tabella ip sono disponibili in link

#!/bin/sh -e 

#default policy to drop all incoming packets
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP

ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP

iptables -A INPUT -i eth0 -p tcp --dport 48000 -j ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

iptables -A FORWARD -i eth0 -o tun0 -m conntrack \
    --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i tun0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o tun0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o tun0 -j MASQUERADE

#accept incoming packets from localhost and the LAN interface
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

#accept incoming packets from the WAN if the router intiated the connection
iptables -A INPUT -i eth0 -m conntrack \
    --ctstate ESTABLISHED,RELATED -j ACCEPT

#forward LAN packets to the WAN
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#forward WAN packets to the LAN if the LAN initiated the connection
iptables -A FORWARD -i eth0 -o eth1 -m conntrack \
    --ctstate ESTABLISHED,RELATED -j ACCEPT

#NAT traffic going out to the WAN interface
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

exit 0

La LAN dovrebbe essere in grado di inviare a WAN / Internet. Le connessioni in entrata dovrebbero essere SOLO se la LAN o il router l'hanno avviato. Potrei anche portare avanti 40000 alla LAN.

Queste regole sono abbastanza sicure? Può essere più semplificato?

    
posta aeueVjDmQja 01.08.2018 - 14:40
fonte

0 risposte

Leggi altre domande sui tag