În general:
Regulile de firewall sunt procesate în ordinea în care sunt setate și apar (în ieșirea fișierului iptables -L -v -n --line-numbers , iptables -L -v -n -t nat --line-numbers, iptables-salvare și/sau comenzi similare).
Crearea de noi reguli în lanțuri greșite și/sau ordine greșită va avea ca rezultat consecințe nedorite, încălcarea funcționalității, securitatea și/sau blocarea traficului valid.
Fiți conștienți de faptul că rulați la un nivel scăzut iptables comenzile pentru a vă gestiona firewall-ul s-ar putea să nu fie întotdeauna cea mai bună soluție. Din câte știu în Ubuntu, se preferă utilizarea instrumentelor UFW și va funcționa în mod fiabil împreună cu fail2ban.
Fail2ban creează unul sau mai multe lanțuri personalizate (care se ocupă de majoritatea sarcinilor grele pentru blocarea anumitor adrese IP care se comportă greșit), cum ar fi f2b-sshd lanţ. În mod normal, lăsați fail2ban să gestioneze intrările din acele lanțuri.
În plus, fail2ban creează reguli pentru lanțurile personalizate pe care le creează în INTRARE lanţ. În mod normal, acele reguli trebuie să vină primul în INTRARE lanț, înainte de orice alte reguli pe care le creați.
În configurația curentă a firewall-ului, atunci când utilizați iptables cu -A comutați pentru a adăuga reguli noi la lanțul INPUT, totul ar trebui să funcționeze.
Rularea următoarelor comenzi va adăuga regulile obișnuite pentru a crea un firewall care permite ssh, http și https și care blochează orice alt trafic de intrare.
iptables -A INPUT -m stare --state RELATED,STABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INTRARE -p tcp -m stare --state NOU -m tcp --dport 22 -j ACCEPT
iptables -A INTRARE -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INTRARE -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
