Co do zakladania IDS'a, portsentry i calej reszty na desktopie - nie ma sensu... Jesli sam na nim nie siedzisz to nie instaluj bo nie znajdziesz nikogo kto bedzie przegladal logi a wtedy cale te dodatki o kant dupy sie zdadza jesli nikt nawet nie zobaczy czy cos sie dzialo... lepiej ustawic to na router.
Jesli ten desktop to na prawde desktop, to zupelnie wystarczy:
Kod:
#!/bin/sh
echo -e "STARTING FIREWALL... "
ipt="/sbin/iptables"
# czyszcze tablice
$ipt -F
$ipt -F INPUT
$ipt -F OUTPUT
$ipt -F FORWARD
$ipt -F -t mangle
$ipt -F -t nat
$ipt -X
# blokuje wszystko
$ipt -P INPUT DROP
# zezwalam na localhost na lo
$ipt -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$ipt -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# przepuszczam polaczenia juz zestawione
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ostatnia linijka wpuszcza polaczenia ktore sa... czyli tez jak sie okazuje te przez nas zainicjowane. Desktop to desktop - nie dostaje poczty przez SMTP, nie ma serwera WWW - inaczej to juz serwer.
Jesli dochodza uslugi serwerowe jakiekolwiek to wypada dodac:
Kod:
# uslugi
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 443 -j ACCEPT
...
# TCP reset, ICMP port-unrechable (udajemy ze nie mamy uruchomionych zadnych serwisow)
$ipt -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
$ipt -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
Okreslenie adresu docelowego i interfejsu nie ma wiekszego sensu chyba ze dywersyfikujemy co i dla kogo ma byc widoczne... Na koniec wszystko na interfejsie WAN (tu eth0) REJECT albo po prostu zostawic bez tego by nie generowac zbednego ruchu i bedzie ciche DROP zgodnie z policy.