iptables whitelist (areac.de)

[bash]

Code Auswählen Erweitern

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -o network0 -d 192.168.1.1 -p udp --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A OUTPUT -o network0 -d 188.68.47.39 -p tcp --sport 1024:65535 --dport 443 -j ACCEPT

mit diesen iptables regeln darf meine linux workstation ausschliesslich die website areac.de aufrufen. an welcher stelle kann ich die regeln noch paranoider definieren? lässt sich eventuell bei new,established,related noch was machen? ich bin gespannt auf eure antworten und bedanke mich jetzt schon dafür . . .

[pluto]

ausschliesslich die website areac.de aufrufen. an welcher stelle kann ich die regeln noch paranoider definieren?

Noch paranoider? Stecker ziehen!

[Fjellrev]

lässt sich eventuell bei new,established,related noch was machen?

RTFM - man iptables-extensions -> Suchen (Tastaturkürzel: / ) -> "States for --ctstate"
Nein, da lässt sich nichts machen, bzw. ergibt es wenig Sinn dort etwas zu ändern. Vielleicht kannst du ja related streichen, musst du ausprobieren, halte Ich nichts von.

Bezüglich DNS hast du ja schon selbst was gefunden, falls du der selbe bash wie aus dem Kuketz-Forum bist.
Wenn du die Hosts-Datei für die Domain verwendest, kannst du auch einen Hostnamen statt IP-Adresse in deinen iptables Skript für die "Destination" verwenden. Dann musst du nicht in beiden Dateien rumfummeln, und kannst deine Freigabe für DNS streichen (wenn du es auch regelmäßig nutzt, bla).

Aber ansonsten droppst du alles, wofür du keine Freigabe definiert hast. Pluto hat da recht, außer mit "Stecker ziehen" Gleichbedeutendes geht nicht mehr mit deinen Regeln.