Iptables - lukning af eksterne ip-adresser for bestemte porte

Jo det skulle være greit nok. Det vanlige (og det beste) det er imidlertid å først blokkere alle porter (Default policy drop) og så åpne en og en port (eller serie av porter) Går det bra ?

Det er også forskjell på å åpne de portene som går inn til serveren lokale prosesser kontra å åpne for trafikken inn til Lan via en Linux gateway. Dreier det seg "bare" om en server eller dreier det seg om en gateway med 2 kort ??

For server med statefull inspection:

#!/bin/bash

# Modul for statefull inspection
modprobe ip_conntrack

# Reset chains
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Sette policies (default rules):
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i lo -j ACCEPT

# Open for internet servers
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Port 139 åpen fra 192.168.1.2
iptables -A INPUT -p tcp -s 192.168.1.2 --dport 139 -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

"hvor alle ikke .dk hostnames blev blokkeret til f.eks. port 443?"

Nei det går ikke. Iptables kan ikke forholde seg til domenenavn for eksempel .dk hovedsakelig bare ip adresser, porter og "flagg".

Okay, viste jeg ikke.

Nu er det bare sådan at jeg kører en ftp med passive-ports - men disse kan vel begrænses til et bestemt port-område. Der ud over har jeg også en squid proxy med en del porte som jeg er i tvivl om

http://iptables.1go.dk/

jamen tak for den ind til vidre hjælp. Lukker det nu.

Takker for points !! Sjekker akkurat portnummer for squid ....
Det er default 3128