LINUX.ORG.RU
ФорумAdmin

Помогите разобраться с iptables

 


0

1 
root@vesta4:/home/nommaner# cat ~/iptables.rules
# Generated by iptables-save v1.6.0 on Tue Dec  3 07:07:45 2019
*filter
:INPUT DROP [74:5200]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [655:422309]
:f2b-sshd - [0:0]
:fail2ban-FTP - [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-SSH - [0:0]
:fail2ban-VESTA - [0:0]
:vesta - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.2.11/32 -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT
-A INPUT -s 178.208.255.149/32 -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 21,12000:12100 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587,2525 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-FTP
-A f2b-sshd -j RETURN
-A fail2ban-FTP -j RETURN
-A fail2ban-MAIL -s 46.38.144.179/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 46.38.144.202/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 92.118.38.55/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 46.38.144.57/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -j RETURN
-A fail2ban-SSH -s 159.65.146.250/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 80.211.180.203/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.186.175.202/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 222.186.173.215/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -s 185.232.67.6/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-SSH -j RETURN
-A fail2ban-VESTA -j RETURN
COMMIT
# Completed on Tue Dec  3 07:07:45 2019

В такой конфигурации пинги наружу не ходят, сервер жутко тормозит.

Я добавил правило про lo интерфейс, сервер вроде тормозить перестал, а может ну его и INPUT по умолчанию на ACCEPT переделать?

Требуется экспертное мнение, ведь ковырять фаервол я могу только в нерабочее время, да и в нерабочее не очень желательно.


По пунктам
1. Пинги наружу ходят и не обманывайте.
2. Не хватет
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
3. ssh у вас заблокирован полностью
4. Правила
-A INPUT -p tcp -m tcp --dport 8083 -j fail2ban-VESTA
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-FTP
не имеют смысла, вы уже выше разрешили все
5. В правиле
-A INPUT -p tcp -m multiport --dports 25,465,587,2525,110,995,143,993 -j fail2ban-MAIL
порты 25,465,587,2525 так же не имеют смысла, вы так же их разрешили выше

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от Shulman

Прежде чем ковырять fw на боевом при полном отсутствии знаний:
1. Читаем iptables tutorial
2. Тренируемся на кошечках (виртуалки и т.д.)

ЗЫ Из не замеченного сразу, у вас муся и pg голой попой в инет должны смотреть? Отважно.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Вот они из тех – «я не понимать, я делать» )

anonymous
()

Про related и established уже сказали.

-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT

Второе правило у тебя здесь избыточно

Если нет докера, то я бы еще в FORWARD поставил дефолтную политику в DROP(он-то конечно будет и так запрещен по sysctl, но мало ли)

Ну и традиционно - старое, но вполне себе работающее до сих пор Руководство по iptables

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Ну и традиционно - старое, но вполне себе работающее до сих пор Руководство по iptables

Вроде как 1.2.2 уже давно завезли :)

anc ★★★★★
()
Ответ на: комментарий от Pinkbyte

На русском?

Хм, действительно. А мне почему-то казалось что и на русском 1.2.2 было. Извиняюсь. Пожалуй ваша ссылка правильная. В целом же для задачи ТС её достаточно полностью.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin