Закрыть сервер снаружи

0

0

Интерфейс ppp0 (eth0) смотрит в сеть (ip динамический). Как максимально закрыть сервер снаружи. Что сейчас считается надежным способом закрыть сервер максимально? Хотелось бы закрыться полностью, что бы даже не пинговалось снаружи.

Ссылка

←	Домашняя сетка.

[ddclient] Can't locate Sys/Hostname.pm

→

Выключить питание?

Кому нужен сервер, поностью закрытый?

vvn_black ★★★★★
(21.06.09 19:44:22 MSD)

Ссылка

Если не ошибаюсь, как-то так:

#! /bin/sh

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F block
iptables -X block
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -N block

iptables -A block -m state --state RELATED,ESTABLISHED -j ACCEPT.
iptables -A block -i ! ppp0 -m state --state NEW -j ACCEPT.
iptables -A block -j REJECT
iptables -A INPUT -j block.
iptables -A FORWARD -j block.

iptables -A block -j LOG --log-prefix rejected:.

sin_a ★★★★★
(21.06.09 19:52:20 MSD)

Ответ на: комментарий от sin_a 21.06.09 19:52:20 MSD

REJECT на всё, в том числе и на icmp выглядит весло с наружи, сервер на ping'и отвечает своим ip-адресом что этот адрес недоступен.

mky ★★★★★
(21.06.09 22:32:40 MSD)

Ответ на: комментарий от mky 21.06.09 22:32:40 MSD

А, ну да, наверно там тоже drop нужен.

sin_a ★★★★★
(21.06.09 22:37:40 MSD)

Ссылка

Ответ на: комментарий от mky 21.06.09 22:32:40 MSD

В остальном-то правильно вроде?

sin_a ★★★★★
(21.06.09 22:38:25 MSD)

засунуть в шкаф.

raystlin ★
(22.06.09 02:19:07 MSD)

Ссылка

Ответ на: комментарий от sin_a 21.06.09 22:38:25 MSD

>В остальном-то правильно вроде? 
>iptables -A block -j REJECT
>...
>iptables -A block -j LOG --log-prefix rejected:.

:)

nnz ★★★★
(22.06.09 02:42:16 MSD)

Ссылка

А как тогда позволить серверу в инет лазить с условием, что он извне невидим?

~~trill~~
(22.06.09 07:17:47 MSD) автор топика

Ответ на: комментарий от trill 22.06.09 07:17:47 MSD

В общем, разберись с примером, который я привёл. Как раз разберёшься и на что ругаются и что исправить надо :)

А смысл, кратко, в том, что извне отбрасываются все пакеты кроме тех, что идут по уже установленному соединению инициированому изнутри.

sin_a ★★★★★
(22.06.09 08:00:59 MSD)

Ответ на: комментарий от sin_a 22.06.09 08:00:59 MSD

На этом примере, я в своё время начал знакомство с iptables, и хотя не особо далеко ушёл но помощь он мне оказал :)

sin_a ★★★★★
(22.06.09 08:02:38 MSD)

Ссылка

Ответ на: комментарий от trill 22.06.09 07:17:47 MSD

>А как тогда позволить серверу в инет лазить с условием, что он извне невидим?

iptables -A block -m state --state RELATED,ESTABLISHED -j ACCEPT
пропустить все, что идет по уже установленным соединениям
iptables -A block ! -i ppp0 -m state --state NEW -j ACCEPT
разрешить новые соединения не из интернета (например, из локалки)
iptables -A block -j DROP
все остальное молча отбрасывать

iptables -A INPUT -j block
поступать так со входящим трафиком
iptables -A FORWARD -j block
и с транзитным (который идет через тебя на другие хосты)

iptables -P OUTPUT ACCEPT
весь исходящий трафик - разрешить

nnz ★★★★
(22.06.09 17:51:13 MSD)

Ссылка

Ответ на: комментарий от sin_a 21.06.09 22:38:25 MSD

Кроме REJECT вместо DROP и LOG после REJECT, нашел еще один косячок: восклицательный знак после -i, а не перед. В iptables v1.4.3.2 такое уже запрещено (раньше было для совместимости).

nnz ★★★★
(22.06.09 18:31:45 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Домашняя сетка.

Admin

[ddclient] Can't locate Sys/Hostname.pm

→

Похожие темы