LINUX.ORG.RU
ФорумAdmin

[iptables] что запихнуть в iptables для публичной тачки?


0

3

Сабж. Я вот такое хочу:

iptables -A INPUT -m set --match-set BASTARDS src -j DROP
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED  -j ACCEPT

#basic filtering
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j SET --add-set BASTARDS
iptables -A INPUT -p tcp --dport 20:21 -j SET --add-set BASTARDS

#SSH guard
iptables -A INPUT -p tcp --syn --dport 22    -m recent --rcheck --name SSH --rsource -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 25999 -m recent --set    --name SSH -j REJECT
iptables -A INPUT -p tcp --syn --dport 26000 -m recent --remove --name SSH -j DROP


iptables -I OUTPUT -m set --match-set BASTARDS dst -j REJECT

Наверно стоит ограничить кол-во соединений для любого порта, не только для 80. Что ещё такого не сильно задротского впихнуть? Или угомониться на том что есть?

В принципе, я неуловимый Джо, но пару раз сайт знакомых на этой тачке завалить пытались.

Ответ на: комментарий от true_admin

Мне кажется что это ничего не усложнит так как ... [code=bash]iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT[/code] И хуже тоже не будет.

pyatak123 ()
Ответ на: комментарий от pyatak123

тогда что это даст? :) Не будет icmp port uncreachable? Это мне уже самому неудобно. Например, будет тупить nginx если упадёт локальный вебсайт (nginx проксирует соединения).

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Даст, если у вас появится сервис который откроет соответствующий сокет, который сразу будет торчать наружу. Мне кажется, что правильно действовать от обратного, есть сервис, открыл, а не закрывать если он вдруг появится. Почему будет тупить nginx, если он на этой машине на которой вы настраиваете пакетный фильтр?

pyatak123 ()

iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

это, конечно, стрёмная тема....

ещё лучше бы перекинуть ссх на какой-то левый порт и добавить фильтрацию по маку

flant ★★ ()
Ответ на: комментарий от router

я понял, надо принять RELATED, ESTABLISHED, а вот с NEW надо повнимательнее

true_admin ★★★★★ ()

Оффтопик: возьми CIS для rhel ( или для debian, но он гораздо старее ) , выкинь параною по вкусу - остальное весьма годно для любых машин.

Ну там жёсткий запрет ssh младше v2, запрет доступа root, ограничения попыток через pam_tally2, ограничение использования команды su и т.п.

router ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

разыгнорил. tarpit подумаю, port knocking уже в правилах есть, вместо hashlimit стоит connlimit (хотя его можно сильно по-разному использовать), syncookies ... Ммм, да, точно, защиту от флуда надо сделать.

true_admin ★★★★★ ()
Ответ на: комментарий от flant

ещё лучше бы перекинуть ссх на какой-то левый порт и добавить фильтрацию по маку

Но зачем? Отключение пароля, вход по ключам + fail2ban за уши.

tazhate ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.