Estou com uma dúvida em uma configuração de um firewall que estou fazendo em um computador de casa. O cenário é o seguinte:
Eu tenho um túnel para um computador remoto na minha porta local 3724 (fiz utilizando o ssh, é um tunnel local).
Eu gostaria que somente as conexões através dessa porta pudessem ser utilizadas, colocando as políticas do INPUT e OUTPUT como drop.
A minha conexão é ADSL (ppp0).
O firewall que configurei é esse:
# Setando as regras padrões para as tabelas
iptables -P INPUT DROP
iptables -P OUTPUT DROP
echo "Setting iptables INPUT rules........... [OK]"
#Regras de Segurança e configuração
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
#Regras de entrada e interfaces locais
iptables -A INPUT -i lo -p ALL -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --syn -j REJECT
iptables -A INPUT -p udp --dport 0:1023 -j REJECT
#echo "Setting iptables OUTPUT rules........... [OK]"
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p tcp --sport 0:65535 --dport 3724 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2220 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
Perguntas:1) Para poder usar o DROP na política do INPUT o único jeito que consegui foi fazer:
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -j ACCEPT
Mas tenho impressão que torna a entrada do firewall uma peneira ... Estou Certo?
2) Caso o firewall esteja uma peneira por conta disso como devo fazer para que o computador continue a navegar, utilizar dns ,etc utilizando a política DROP para o INPUT?
Desde já agradeço a atenção de todos!