LINUX.ORG.RU
ФорумGeneral

Какие порты открыть по умолчанию iptables на CentOS (VPS)

 , ,


0

3

Добрый день. *** CentOS на VPS под почтовый и веб сервер. ***

Выгрузил правила Netfilter в файл и он пустой, т.е. получается, что по-умолчанию все порты открыты. И по идее в секции *tables необходимо закрыть доступ по умолчанию: 

-A INPUT -j DROP
после открытия необходимых портов для работы установленных сервисов, например 22,25,80,110,icmp и т.д. Но, возникает вопрос, какие порты дополнительно (кроме тех которые для установленных сервисов) по-умолчанию необходимо открыть, чтобы не возникало проблем с установкой, обновлением пакетов и т.д. и необходимо ли прописывать какие-либо правила в секции *nat если речь идет о VPS?

Помогите пожалуйста разобраться.

Спасибо.

Обновление пакетов будет открывать подключение «изнутри», тебе там ничего не нужно блокировать. На вход оставляешь только те порты, которые слушают твои сервисы. И еще - раз уж ты заботишься о безопасности, то прикрути сразу fail2ban.

alozovskoy ★★★★★
()
Последнее исправление: alozovskoy (всего исправлений: 1) 
netstat -ln

И посмотришь что пытается выйти в интернет.

vladcraft
()
Ответ на: комментарий от alozovskoy

Обновление пакетов будет открывать подключение «изнутри», тебе там ничего не нужно блокировать. На вход оставляешь только те порты, которые слушают твои сервисы. И еще - раз уж ты заботишься о безопасности, то прикрути сразу fail2ban.

И посмотришь что пытается выйти в интернет.

Спасибо, сейчас попробую разобраться.

Nezhnayka28
() автор топика
Ответ на: комментарий от alozovskoy

Скажите пожалуйста, таких правил будет достаточно, или еще необходимо какие-то правила добавить? 

# Generated by iptables-save v1.4.7 on Sat Mar 28 12:20:16 2015
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
# здесь кроме 22 порта будут и другие порты установленых сервисов
-A INPUT -p tcp -m multiport --dports 22 -j ACCEPT 
COMMIT
# Completed on Sat Mar 28 12:20:16 2015

По поводу этого правила еще вопрос, нужно ли оно? 

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Nezhnayka28
() автор топика
Ответ на: комментарий от Nezhnayka28

Дисклеймер: я совсем не специалист в iptables, лучше погугли или подожди более компетентных товарищей!!

Правила сначала тестируй никуда не записывая (то есть чтоб действовали до перезагрузки, не нужно их ни в какие rc.local и прочее писать) - на случай если выстрелишь себе в ногу закрыв ssh.

Ты писал что нат будет, нужно тогда и для него правила. Тебе нужно написать правила, по которым все что приходит будет дропаться, а потом писать на какие порты принимать подключения. Для lo тоже нужны правила (все разрешено).

По поводу этого правила еще вопрос, нужно ли оно?

Да, нужно - оно разрешает входящий трафик для установленных соединений. Например твой браузер отправляя запрос открывает какой-то «левый» порт, на который ждет ответ, тебе нужно чтоб этот ответ смог дойти до браузера, таким образом не нужно блокировать соединения, которые были установлены изнутри.

В общем я бы тебе посоветовал взять готовый комплект правил, которые обычно пишут для домашних серверов-роутеров-из-старых-ПК и подправить его под свои нужды - будет проще и с поставленной задачей справится.

alozovskoy ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General