Permettre le trafic uniquement à partir d'une adresse IP spécifiée à l'aide d'iptables

J'ai un server dédié (que j'utilise uniquement un environnement de laboratoire / test). Sur le server, CentOS 5.6 est en cours d'exécution et il fonctionne comme un hôte KVM.

Pour sécuriser un peu, je souhaite utiliser «iptables» pour utiliser le trafic uniquement à partir de certaines adresses IP (mes propres adresses).

Ma configuration actuelle d' iptables se présente comme suit:

 [kvm]# iptables -L -v Chain INPUT (policy ACCEPT 4927K packets, 6424M bytes) pkts bytes target prot opt in out source destination 41 2744 ACCEPT udp -- virbr0 any anywhere anywhere udp dpt:domain 0 0 ACCEPT tcp -- virbr0 any anywhere anywhere tcp dpt:domain 66 21810 ACCEPT udp -- virbr0 any anywhere anywhere udp dpt:bootps 0 0 ACCEPT tcp -- virbr0 any anywhere anywhere tcp dpt:bootps 3573K 3515M fail2ban-SSH tcp -- any any anywhere anywhere tcp dpt:ssh Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 470K 700M ACCEPT all -- any virbr0 anywhere 192.168.122.0/24 state RELATED,ESTABLISHED 171K 9558K ACCEPT all -- virbr0 any 192.168.122.0/24 anywhere 0 0 ACCEPT all -- virbr0 virbr0 anywhere anywhere 0 0 REJECT all -- any virbr0 anywhere anywhere reject-with icmp-port-unreachable 0 0 REJECT all -- virbr0 any anywhere anywhere reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT 3115K packets, 5798M bytes) pkts bytes target prot opt in out source destination Chain fail2ban-SSH (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- any any somehost1.net anywhere 19 2176 DROP all -- any any somehost2.net anywhere 21 1668 DROP all -- any any somehost3.net anywhere 3573K 3515M RETURN all -- any any anywhere anywhere 

Je n'ai pas apporté de modifications à la configuration iptables bien que je pense que KVM (virt-manager ou similaires) et fail2ban ont apporté des modifications.

Quelqu'un pourrait-il m'aider à créer le script iptables qui garantit que KVM fonctionne toujours, mais seul le trafic provenant de certaines adresses IP est autorisé. TOUT le rest peut être abandonné. Il ne devrait pas y avoir de ressortingction du server lui-même sur Internet.

Mise à jour: comme la sortie demandée ci-dessus est maintenant avec -v .

 # Set default action to drop anything not explicitly allowed iptables -P INPUT DROP # Allow an incoming connection from 192.168.0.1 iptables -I INPUT -s 192.168.0.1 -j ACCEPT # Allow incoming packets from a self initiated connection to "outside" itpables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

Cela devrait fonctionner. Remplacez 192.168.0.1 par une adresse IP à laquelle vous souhaitez accéder.
Attention, toutes les autres connections seront supprimées (y compris la vôtre, si vous êtes connecté via SSH ou telnet).

garder la VM sur un lien NAT-ed va sérieusement être préformé, l'utilisation de réseaux pontés est beaucoup plus rapide et plus efficace. La configuration plus simple serait de configurer un pont et de configurer le pare-feu de la VM pour supprimer tout ce qui est indésirable