홍석범님 말씀해주신대로 다시 올립니다.

안녕하십니까? 홍석범입니다.

책이나 강좌에서 다음과 같은 상태추적을 강조해서 말씀드렸었는데 빠뜨린것 같습니다.
아래 룰을 상단에 입력해 주시면 여러 문제가 한꺼번에 해결됩니다.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

감사합니다.

iptables! 님의 글

홍석범님 iptables로 질문드렸던 사람입니다. 말씀해주신대로 제 firewall.sh를 올려서 염치불구 다시 여쭙니다. 

문제는 웹은 잘되는데, 외부로 메일도 안나가고 핑두 안나간다는 것이죠. 디폴트 정책에  iptables -P OUTPUT ACCEPT로 했으면 외부로 메일이나 핑은 잘 나가야 되는 것 아닌가요?

저희 웹사이트에서 중요한게 메일과 TimeSync(Rdate -s...) 이렇게 두가지인데

이것 두개만 허용하려면 어떻게 고치면 될까요?

===========================================================

# A Sample OpenVPN-aware firewall.
# eth0 is connected to the internet.
# eth1 is connected to a private subnet.
 
PRIVATE=10.0.0.0/24
LOOP=127.0.0.1
 
# Delete old iptables rules and temporarily block all traffic.
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
 
# Set default policies
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
 
# Prevent external packets from using loopback addr
iptables -A INPUT -i eth0 -s $LOOP -j DROP
iptables -A FORWARD -i eth0 -s $LOOP -j DROP
iptables -A INPUT -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -d $LOOP -j DROP
 
# Anything coming from the Internet should have a real Internet address
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
 
# Check source address validity on packets going out to internet
iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP
 
# Allow local loopback
iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT
 
# Allow incoming pings (can be disabled)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
 
# Allow services such as www and ssh (can be disabled)
iptables -A INPUT -p tcp --dport http -j ACCEPT
 
# Allow incoming OpenVPN packets
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
 
# Allow packets from TUN/TAP devices.
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
 
# Allow packets from private subnets
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
 
# Masquerade local subnet
iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE