コメントスパム対策のため、特定メールアドレスの入った突っ込みをお断りしています。
やっと一段落付きそうなので、攻めに転じるとしましょう。
/etc/firewall.fon に下の内容を追加し、FON_APの使用方法を少し限定します。ちょっとスマートな記法にしてみました。
# allow regular wan traffic
[ -z "$WAN" ] || {
# Added by Yuzo (start)
iptables -A NET_ACCESS -i tun0 -o $WAN -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A NET_ACCESS -i tun0 -o $WAN -p tcp -m state --state INVALID -j DROP
iptables -A NET_ACCESS -i tun0 -o $WAN -p tcp -m multiport --dports 22,80,110,123,143,443,500,587,1723,1812,4500,6667 -j ACCEPT
iptables -A NET_ACCESS -i tun0 -o $WAN -p udp -m multiport --dports 22,80,110,123,143,443,500,587,1723,1812,4500,6667 -j ACCEPT
iptables -A NET_ACCESS -i tun0 -o $WAN -j DROP
# Added by Yuzo (end)
iptables -A NET_ACCESS -o "$WAN" -j ACCEPT
iptables -A NET_ACCESS -i "$WAN" -j ACCEPT
}
一応これで効いているみたいです。家庭内LANにも入れないよう防御されていますし。
FON_AP のアクセスポータル設定も適当に変えておきたいところですが……面倒臭ぇなあ。
通信範囲:Web・メール受信・認証付きメール送信・IRC・SSH・VPN・時刻合わせ
(Port 22,53,80,110,123,143,443,500,587,1723,4500,6667)