LINUX.ORG.RU
ФорумAdmin

[iptables] Что лучше deny-by-default или accept

 


0

0

Приветствую всех.

Не посоветуйте, что лучше для роутера, какая политика для INPUT и FORWARD цепочки:

iptables -P INPUT DROP

затем только то, что нужно открывать, например, ssh.

Или ACCEPT, потом дропать ненужное?

В FORWARD'е DROP и разрешать только ACCEPT --state NEW на внутреннем интерфейсе eth1 и ESTABLISHED,RELATED на *

Обычно проще следовать принципу «все, что не разрешено, то запрещено», т.е. -P DROP для INPUT и FORWARD. Во всяком случае, если хост торчит задницей в недоверенной зоне.

Обычно структура этих цепочек такова:
-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Дальше идут всякие проверки на портсканы, некорректные пакеты, etc
-p tcp -m conntrack --ctstate NEW --tcp-flags ACK,SYN ACK,SYN -j REJECT --reject-with tcp-reset
# Потом разрешения для новых соединений
-p tcp --dport 80 -j ACCEPT
# В конце, опционально, логгирование
-m limit --limit-rate 3/min -j LOG --log-level DEBUG --log-prefix «Dropped: »
# Ну и после этого default drop

Конечно, я упрощаю, но общая идея примерно такая :)

nnz ★★★★
()
Ответ на: комментарий от nnz

Благодарю за совет. Мне собственно надо, чтобы только ssh торчал наружу и web-сервер на 20000 порту вот этого. Насчёт портскана, чем это чревато? В том смысле я ни от кого не скрываю какие сервисы у меня торчат наружу :)

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от anton_jugatsu

Ну, если полагаешь, что ты неуловимый Джо, то защита от портсканов и прочие IDS/IPS тебе действительно не нужны :)

Но ssh я бы на твоем месте все-таки защитил через knockd, особенно если оно на дефолтном порту. Ботнеты, они такие.

nnz ★★★★
()
Ответ на: комментарий от nnz

Спасибо. Ну auth.log пока ещё не такой раздутый :) Насчёт защиты пока ещё не определился ;)

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от nnz

Кстати, knockd классная вещь! Но в моём случае перебор :)

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от nnz

Кстати, ещё такой вопрос. Ведь по идее политика -A INPUT ACCEPT, в начале которой разрешающие правила, а в конце цепочки -A INPUT -j DROP ничем не отличается от -P INPUT DROP?

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от anton_jugatsu

В принципе, разницы никакой, но -P INPUT ACCEPT -A INPUT -j DROP смотрится несколько по-индусски, имхо.

// Случаи извращенного хакинга с RETURN и -g вместо -j я не рассматриваю.

nnz ★★★★
()
Ответ на: комментарий от nnz

Согласен. Я просто анализировал правила на своём домашнем маршрутизаторе D-link 500t, там таким образом сделано -P INPUT ACCEPT, то есть дефолтно, потом разные разрешающие правила и в конце -A INPUT -j DROP

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от ventilator

>при iptables -F ssh коннект не отвалится

Если вынуть вовремя, папой не станешь, да.
Однако современная цивилизация дает нам более удобные средства контрацепции.

Откройте для себя iptables-apply.

nnz ★★★★
()
Ответ на: комментарий от nnz

Ешё небольшой вопросик :) Если у меня -P INPUT DROP и разрешено только ssh и state EST,REL, но на сервере у меня ещё крутятся www,smtp,bind,ftp, базы данных и т.д., то теоретически мой хост уязвим (remote) лишь для брута, openssh уязвимости и ядерной уязвимости (типа ping of death)?

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от anton_jugatsu

ohshi~
пинг оф дед :D
DDOS-a сейчас стоит опасаться, остальное фигня
брут легко блочится через fail2ban, удаленные уязвимости в openssh? давно не слышал о таких

guyvernk
()
Ответ на: комментарий от guyvernk

> пинг оф дед :D

да я утрировал канешно :) имелось ввиду ядерная уязвимость :)

удаленные уязвимости в openssh давно не слышал о таких

я тоже :)

брут легко блочится через fail2ban

да я пока не заморачиваюсь :)

itc:~# grep -i invalid /var/log/auth.log | wc -l

670

а как ддос распознать ^_^

anton_jugatsu ★★★★
() автор топика
Ответ на: комментарий от ventilator

>И чем же это более удобно?

Это удобно тем, что защищает от выстрела себе в пятку. // К.О.

Еще один дополнительный скрипт, зачем к нему привыкать


Кто не хочет учиться, идет работать в грузчики или во власть.
В сисадминство ему подаваться не след.

nnz ★★★★
()
Ответ на: комментарий от anton_jugatsu

>Если у меня -P INPUT DROP и разрешено только ssh и state EST,REL, но на сервере у меня ещё крутятся www,smtp,bind,ftp, базы данных и т.д., то теоретически мой хост уязвим (remote) лишь для брута, openssh уязвимости и ядерной уязвимости (типа ping of death)?

В общем, да. Априорно предполагая, что никакой нечисти, устанавливающей бэкконнект, на твоем серваке нет.

Правда, не упомянута еще одна группа методов вскрытия ssh (кроме брутфорса и дыр в openssh) — то, что объединяется широким термином «социальная инженерия», начиная от кейлоггеров на твоей машине и заканчивая терморектальным криптоанализом. Не то, чтобы я уж очень это подчеркиваю, но забывать тоже не надо :)

Что касается DDoS'а, то тут он возможен в двух видах — на ssh-сервер (легко лечится кнокингом или fail2ban) и на забитие канала, т.е. пинги. Во втором случае сам ты сделать ничего не сможешь, придется обращаться к провайдеру.

Кнокинг и/или fail2ban рекомендую настроить уже сейчас, чтобы не париться потом.

Ну и, традиционно, обновляй софт почаще ;)

nnz ★★★★
()
Ответ на: комментарий от nnz

Спасибо большое за советы! Всё по полочкам разложено :)

anton_jugatsu ★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.