Lo de tener algo publicado en Internet es como dejar algo en la puerta de tu casa, es más que probable que desaparezca. Llevábamos unos días viendo demasiado tráfico contra esas ips, probando cuentas de las «de siempre».
Tampoco nos vamos a volver locos … 22 desde internet por si las moscas (solo desde nuestro rango), 22, 443, dns y tacacs (49) desde la red interna para poder seguir entrando. ICMP para monitorizar los cacharros.
Asi que la lista queda asi:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -s yyy.yyy.yyy.yyy/yy -j ACCEPT
iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 49 -j ACCEPT
iptables -A OUTPUT -p udp –dport 49 -j ACCEPT
iptables -A OUTPUT -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A INPUT -j DROP
iptables -A INPUT -j DROP
Y poco mas …