Перед фильтрацией пакетов
Так как у нас не асимметричная маршрутизация, мы можем просто включить антиспуфинг для всех интерфейсов.
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done #
Запрещаем все, кроме loopback трафика.
# ipchains -A input -i ! lo -j DENY # ipchains -A output -i ! lo -j DENY # ipchains -A forward -j DENY #
Это обычно делается в сценариях начальной загрузки. Удостоверьтесь, что вышеупомянутые шаги выполнены прежде, чем интерфейсы настроены, чтобы не пропустить пакеты до того, как будут настроены правила.
Мы должны вставить модуль маскарадинга для FTP, так, чтобы активный и пассивный FTP "работал только' из внутренней сети.
# insmod ip_masq_ftp #