LINUX.ORG.RU
ФорумAdmin

centos firewall

 ,


0

1

Добрый день. Есть centos 7 свежеустановленный. При установке встали правила iptables. правил очень много. Стоит задача открыть только ssh и 80 порт и ЧТОБЫ БЫЛО БЕЗОПАСНОСТЬ НА ВЫСШЕМ УРОВНЕ. 80 порт открыл, стоит ли удалять правила и настраивать как обычно, или оставить по умолчанию?

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
FORWARD_direct  all  --  anywhere             anywhere            
FORWARD_IN_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_IN_ZONES  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
OUTPUT_direct  all  --  anywhere             anywhere            

Chain FORWARD_IN_ZONES (1 references)
target     prot opt source               destination         
FWDI_public  all  --  anywhere             anywhere            [goto] 
FWDI_public  all  --  anywhere             anywhere            [goto] 

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_OUT_ZONES (1 references)
target     prot opt source               destination         
FWDO_public  all  --  anywhere             anywhere            [goto] 
FWDO_public  all  --  anywhere             anywhere            [goto] 

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_direct (1 references)
target     prot opt source               destination         

Chain FWDI_public (2 references)
target     prot opt source               destination         
FWDI_public_log  all  --  anywhere             anywhere            
FWDI_public_deny  all  --  anywhere             anywhere            
FWDI_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain FWDI_public_allow (1 references)
target     prot opt source               destination         

Chain FWDI_public_deny (1 references)
target     prot opt source               destination         

Chain FWDI_public_log (1 references)
target     prot opt source               destination         

Chain FWDO_public (2 references)
target     prot opt source               destination         
FWDO_public_log  all  --  anywhere             anywhere            
FWDO_public_deny  all  --  anywhere             anywhere            
FWDO_public_allow  all  --  anywhere             anywhere            

Chain FWDO_public_allow (1 references)
target     prot opt source               destination         

Chain FWDO_public_deny (1 references)
target     prot opt source               destination         

Chain FWDO_public_log (1 references)
target     prot opt source               destination         

Chain INPUT_ZONES (1 references)
target     prot opt source               destination         
IN_public  all  --  anywhere             anywhere            [goto] 
IN_public  all  --  anywhere             anywhere            [goto] 

Chain INPUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain INPUT_direct (1 references)
target     prot opt source               destination         

Chain IN_public (2 references)
target     prot opt source               destination         
IN_public_log  all  --  anywhere             anywhere            
IN_public_deny  all  --  anywhere             anywhere            
IN_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain IN_public_allow (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http ctstate NEW

Chain IN_public_deny (1 references)
target     prot opt source               destination         

Chain IN_public_log (1 references)
target     prot opt source               destination         

Chain OUTPUT_direct (1 references)
target     prot opt source               destination 

Стоит задача открыть только ssh и 80 порт и ЧТОБЫ БЫЛО БЕЗОПАСНОСТЬ НА ВЫСШЕМ УРОВНЕ

Делай как тебе надо.

80 порт открыл

Молодец.

, стоит ли удалять правила и настраивать как обычно, или оставить по умолчанию?

Решай сам, как тебе надо.

kostik87 ★★★★★ ()

Кучу правил вставил firewalld. По умолчанию он закрывает все порты для входящих коннектов. Открыть порт для входящих можно в его gui (firewall-config) или cli (firewall-cmd).

iliyap ★★★★★ ()

Забудь о iptables и изучи предустановленный firewalld.

З.Ы.: Админю вычислительный кластер. Кроме ssh и http[s] есть и ещё десяток сервисов для пользователей. Открывать их для всех опасно. В firewalld создано несколько зон: админские компы, локалка кампуса, подсети городских провайдеров, зоны доступа к специфичным сервисам, .... При этом достаточно вбить firewall-cmd --list-all-zones, чтобы понять кому и что разрешено в считанные секунды. А главное, этот выхлоп поймёт любой другой, а не только «Я».

AlexVR ★★★★★ ()

Давно решил эту проблему. В init.d есть исполняемый файл на последней позиции загрузки в нем чего хочу то и ворочу:

#!/bin/sh
#set -x
iptables -Z
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 10.12.0.0/16 -j ACCEPT
iptables -A INPUT -s 888.888.208.0/28 -j ACCEPT
iptables -A INPUT -s 888.6.8.79 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 80,873,636,389,3306,5432,123 -j DROP
iptables -A INPUT -p udp -m multiport --dport 80,873,123 -j DROP
#### Отключим этих спамеров#######
ban2="/etc/postfix/BanIP/banIP"
## Проверяем наличие блэклиста
test -f $ban2 && {
for i in `cat $ban2`
do
iptables -A INPUT -s $i -p tcp -m multiport --dport 25,110,443,995,465,587,80 -j DROP
done
#####
### Спамеры подбирающие пароли####
## Файл с IP забаненых
ban="/etc/postfix/BanIP/ForIprouter.txt"
## Проверяем наличие блэклиста
test -f $ban || exit 0
for i in `cat $ban`
do
iptables -A INPUT -s $i -p tcp -m multiport --dport 25,110,443,995,465,587 -j DROP
done

Bootmen ★★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.