iptables. Правила. Правильно ли сделал?

[AlexAgn]

Всем привет!

Есть такой скрипт:

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p TCP --dport 53 -j ACCEPT
iptables -A INPUT -p TCP --sport 53 -j ACCEPT
iptables -A INPUT -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -p UDP --sport 53 -j ACCEPT
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -p UDP --dport 80 -j ACCEPT
iptables -A INPUT -p UDP --sport 80 -j ACCEPT
iptables -A INPUT -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -p TCP --sport 443 -j ACCEPT
iptables -A INPUT -p UDP --dport 443 -j ACCEPT
iptables -A INPUT -p UDP --sport 443 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 20000:61000 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 20000:61000 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 20000:61000 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 20000:61000 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Подскажите, правильно ли я написал правила?

Напишу, как по идее должно все работать: сначала я обнуляю все правила и затем их удаляю. Потом задаю политику по умолчани: запрещать входящие, исходящие и транизитные пакеты.
Далее я разрешаю входящее на порт 53 для протокола TCP и UDP, где порт назначения или порт отправки равен 53.
Далее я разрешаю входящее на порт 80 для протокола TCP и UDP, где порт назначения или порт отправки равен 80.
Далее я разрешаю входящее на порт 443 для протокола TCP и UDP, где порт назначения или порт отправки равен 443.
Далее разрешаю исходящие соединения по протоколу tcp и udp, если порт назначения и отпарвки в диапазоне от 20000 до 610000(сделал это, т. к. увидел, что браузеры используют такой диапазон).
и в конце разрешаю трафик для локалхоста.

Остальные порты должны фильтроваться, т. е. должно запрещать исходящий и входящий трафик на (например): 21, 22, 23, 25, 137, 445, 6000 порты и т.д. до 20000. Все ли верно я сделал? Подскажите, пожалуйста.
Спасибо

[streyz]

iptables -A INPUT -p TCP --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

INPUT с sport удалить нафиг

[AlexAgn]

iptables -A INPUT -p TCP --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT

INPUT с sport удалить нафиг

Да, поудалял. Спасибо.
Пользователь решил продолжить мысль 27 Июня 2015, 17:17:16:А можно еще спросить?
Как считаете, такой скрипт нормальный?

Код:   

#!/bin/sh
IPADDR="198.165.38.1,198.165.120.1,198.165.120.3"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p TCP -s $IPADDR -j ACCEPT
iptables -A INPUT -p TCP --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP --dport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p TCP --dport 30000:61000 -j ACCEPT
iptables -A INPUT -p UDP --dport 30000:61000 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 30000:61000 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 30000:61000 -j ACCEPT

тут идет сначала установка адресов, с каких разрешены входящие пакеты по протоколу TCP. Все, что не будет соответствовать этим IP(запросы с других адресов), будет "дропаться".

Далее - установка политик, разрешение на 53 для входящих, если порт назначения - 53. Разрешение для входящих, если порты назначения от 30000 до 61000(браузер).
Разрешение для исходящих, если порты источника от 30000 до 61000(браузер передает).

Друзья, я все правильно написал? Мне нужно, чтобы айпи посторонних отсеивались, если по сети кто-то захочет залезть или просканировать