wiec tak... na interjesie zewnętrznym zamykasz wszystkie porty, a zezwalasz na ruch tylko na okreslonych np: 21 - ftp, 22 -ssh, 25 - smtp, 53 - DNS , 67 - DHCP, 80 HTTP, 110 - POP i dodatkowo je filtrujesz.
czyli w IPTABLES mozna to zrobic tak ( !!! w zaleznosci od tego czy pracujesz na GATEWAY'u czy na hoscie obwodowym stosujesz INPUT lub FORWARD !!! ):
Kod
insmod ip_conntrack
insmod ip_conntrack_ftp
iptables -P INPUT DROP #wszystko co wchodzi do serwera jest blokowane
iptables -P OUTPUT ACCEPT #wszystko co wychodzi do serwera jest dozwolone
iptables -P FORWARD DROP #wszystko co jest przerzucane z internetu do sieci lokalnej jest blokowane
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 21,22,25,80,110 -j ACCEPT #zezwalasz na wejscie tylko dla tych portow.
#a jesli pracujesz na hoscie za GATEWAY'em to dodajesz
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp -m multiport --dport 21,22,25,110 -j ACCEPT
#zezwalasz na prace sieciowa aplikacja ktore pracuje na takich portach (tylko dla komputerow sieci lokalnaj -i eth1)
#a tu jeszcze uruchamiasz NAT i routing
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#a tu blokujesz, zyby nikt Cie nie pingowal;)
iptables -I INPUT -p icmp --icmp-type echo-request -s 0.0.0.0/0 -m limit --limit 1/s -j ACCEPT
iptables -I INPUT -p icmp --icmp-type echo-request -s 0.0.0.0/0 -j DROP
a na policje nie masz co isc bo to, że ktoś Cię skanuje jest najzupełniej legalne... to może zrobic, bo adres ip jest jawny - to tak jak by ktoś stał przed twoim domem i się na niego patrzył - może wyszukuje słabych punktów którędy moglby sie włamać, a może tylko podziwia. Dopiero jak wejdzie na twoj teren to należy interweniowac.
hehe... czy to moze jakis nowy lepszy robak ?