Привет.
С любезной помощи fisher74, реализую DROP политику:
*filter
:INPUT DROP [73:9198]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1460:143775]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport port#for_ssh -j LOG --log-prefix "Iptables: SSH detected: "
-A INPUT -i wlan0 -p tcp -m tcp --dport port#for_ssh -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m limit --limit 25/min --limit-burst 100 -j ACCEPT
-A OUTPUT -o wlan0 -p tcp -m tcp --sport port#for_ssh -m state --state ESTABLISHED -j ACCEPT
+ пооткрывал нужные мне сервисы: web server (http, https), ssh
Вопрос в следующем: предположим, чисто теоретически, кто-то проник ко мне в систему.
Сможет ли злоумышленник запустить на моём компе некую программу (не имея права рут, конечно), которая бы подключалась к его компьютеру ? Ведь OUTPUT фильтрует только ssh.
То есть локальный процесс(прога злоумышленника) будет слать трафик в цепочку OUTPUT, но получить данные извне он не сможет, т.к. INTPUT дропается, верно понимаю ?