LINUX.ORG.RU
ФорумAdmin

Закрыть сервер снаружи


0

0

Интерфейс ppp0 (eth0) смотрит в сеть (ip динамический). Как максимально закрыть сервер снаружи. Что сейчас считается надежным способом закрыть сервер максимально? Хотелось бы закрыться полностью, что бы даже не пинговалось снаружи.


Re: Закрыть сервер снаружи

Выключить питание?

Кому нужен сервер, поностью закрытый?

vvn_black ★★★★★ ()

Re: Закрыть сервер снаружи

Если не ошибаюсь, как-то так:

#! /bin/sh

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F block
iptables -X block
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -N block

iptables -A block -m state --state RELATED,ESTABLISHED -j ACCEPT.
iptables -A block -i ! ppp0 -m state --state NEW -j ACCEPT.
iptables -A block -j REJECT
iptables -A INPUT -j block.
iptables -A FORWARD -j block.

iptables -A block -j LOG --log-prefix rejected:.

sin_a ★★★★★ ()

Re: Закрыть сервер снаружи

засунуть в шкаф.

raystlin ()
Ответ на: Re: Закрыть сервер снаружи от sin_a

Re: Закрыть сервер снаружи

>В остальном-то правильно вроде? 
>iptables -A block -j REJECT
>...
>iptables -A block -j LOG --log-prefix rejected:.

:)

nnz ★★★★ ()

Re: Закрыть сервер снаружи

А как тогда позволить серверу в инет лазить с условием, что он извне невидим?

trill ()
Ответ на: Re: Закрыть сервер снаружи от trill

Re: Закрыть сервер снаружи

В общем, разберись с примером, который я привёл. Как раз разберёшься и на что ругаются и что исправить надо :)

А смысл, кратко, в том, что извне отбрасываются все пакеты кроме тех, что идут по уже установленному соединению инициированому изнутри.

sin_a ★★★★★ ()
Ответ на: Re: Закрыть сервер снаружи от sin_a

Re: Закрыть сервер снаружи

На этом примере, я в своё время начал знакомство с iptables, и хотя не особо далеко ушёл но помощь он мне оказал :)

sin_a ★★★★★ ()
Ответ на: Re: Закрыть сервер снаружи от trill

Re: Закрыть сервер снаружи

>А как тогда позволить серверу в инет лазить с условием, что он извне невидим?

iptables -A block -m state --state RELATED,ESTABLISHED -j ACCEPT
пропустить все, что идет по уже установленным соединениям
iptables -A block ! -i ppp0 -m state --state NEW -j ACCEPT
разрешить новые соединения не из интернета (например, из локалки)
iptables -A block -j DROP
все остальное молча отбрасывать

iptables -A INPUT -j block
поступать так со входящим трафиком
iptables -A FORWARD -j block
и с транзитным (который идет через тебя на другие хосты)

iptables -P OUTPUT ACCEPT
весь исходящий трафик - разрешить

nnz ★★★★ ()
Ответ на: Re: Закрыть сервер снаружи от sin_a

Re: Закрыть сервер снаружи

Кроме REJECT вместо DROP и LOG после REJECT, нашел еще один косячок: восклицательный знак после -i, а не перед. В iptables v1.4.3.2 такое уже запрещено (раньше было для совместимости).

nnz ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.