Bagi teman semua yang menggunakan Linux Centos dengan apache sebagai web servernya, saya ingin sedikit sharing untuk iptables standar yang dapat digunakan pada web server linux centos tersebut.
Disini saya punya 2 buah interface yaitu eth0 yang digunakan untuk public IP dan eth1 yang digunakan untuk internal IP.
Untuk iptables nya disimpan pada file /etc/sysconfig/iptables :
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
-A INPUT -p tcp --dport 161 -i eth1 -j ACCEPT
-A INPUT -p tcp --dport ftp -i eth1 -j ACCEPT
-A INPUT -p udp --dport ftp -i eth1 -j ACCEPT
-A INPUT -p tcp --dport ftp-data -i eth1 -j ACCEPT
-A INPUT -p udp --dport ftp-data -i eth1 -j ACCEPT
-A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
-A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 0 -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
COMMIT
Penjelasannya :
:INPUT DROP ==> Input connection defaultnya kita block
:FORWARD DROP ==> Forward connection defaultnya kita block
:OUTPUT ACCEPT ==> Output connection defaultnya kita open
-A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT ==> ssh hanya di open dari internal IP
-A INPUT -p tcp --dport 161 -i eth1 -j ACCEPT ==> snmp hanya di open dari internal IP
-A INPUT -p tcp --dport ftp -i eth1 -j ACCEPT ==> ftp port di open dari internal IP
-A INPUT -p udp --dport ftp -i eth1 -j ACCEPT ==> ftp port di open dari internal IP
-A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT ==> http port di open dari public IP
-A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT ==> http port di open dari internal IP
Untuk permit ping icmp :
-A OUTPUT -p icmp --icmp-type 8 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 0 -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Semoga bermanfaat untuk teman semua.
Dony Ramansyah
site : http://dony-ramansyah.bravehost.comblog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171
Tidak ada komentar:
Posting Komentar