Sikkerhed ip tables

Jeg har en linuxboks, som lige er kommet rigtigt online. Defor er jeg bekymret for at min firewall ikke er beskyttet godt nok.

Jeg kørte en "nmap -sTU" på min globale IP og fandt frem til der var åbent på alle UDP portene. Det tænker jeg ikke er særlig godt. Ihvertfald at de kan scannes fra min WAN IP.

Hvordan fikser jeg det så det er mere forsvarligt?


Jeg bruger følgende glimrende script til at sætte iptables op til:

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth0'
WAN_IP='129.142.195.140'
WAN_NIC='eth1'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

##dhcp server
iptables -A INPUT -j ACCEPT -p udp --dport 67

##snmp
iptables -A INPUT -j ACCEPT -p udp --dport 161
iptables -A INPUT -j ACCEPT -p udp --dport 162
iptables -A INPUT -j ACCEPT -p tcp --dport 161
iptables -A INPUT -j ACCEPT -p tcp --dport 162

##NETBIOS Name Service   
iptables -A INPUT -j ACCEPT -p udp --dport 137
iptables -A INPUT -j ACCEPT -p udp --dport 138
iptables -A INPUT -j ACCEPT -p tcp --dport 139

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward