[iptables] Что лучше deny-by-default или accept

iptables

0

0

Приветствую всех.

Не посоветуйте, что лучше для роутера, какая политика для INPUT и FORWARD цепочки:

iptables -P INPUT DROP

затем только то, что нужно открывать, например, ssh.

Или ACCEPT, потом дропать ненужное?

В FORWARD'е DROP и разрешать только ACCEPT --state NEW на внутреннем интерфейсе eth1 и ESTABLISHED,RELATED на *

Ссылка

←	sms из терминала с пом. gmail-сервиса отправки sms

Настройка Samba 4

→

Показаны ответы на комментарий. Показать все комментарии.

Ответ на: комментарий от ventilator 05.04.10 08:44:09 UTC

>при iptables -F ssh коннект не отвалится

Если вынуть вовремя, папой не станешь, да.
Однако современная цивилизация дает нам более удобные средства контрацепции.

Откройте для себя iptables-apply.

nnz ★★★★
(05.04.10 10:13:15 UTC)

Ответ на: комментарий от nnz 05.04.10 10:13:15 UTC

И чем же это более удобно? Еще один дополнительный скрипт, зачем к нему привыкать

ventilator ★★★
(05.04.10 11:24:38 UTC)

Ответ на: комментарий от nnz 05.04.10 10:13:15 UTC

Ешё небольшой вопросик :) Если у меня -P INPUT DROP и разрешено только ssh и state EST,REL, но на сервере у меня ещё крутятся www,smtp,bind,ftp, базы данных и т.д., то теоретически мой хост уязвим (remote) лишь для брута, openssh уязвимости и ядерной уязвимости (типа ping of death)?

anton_jugatsu ★★★★
(05.04.10 12:32:08 UTC) автор топика

Ответ на: комментарий от anton_jugatsu 05.04.10 12:32:08 UTC

ohshi~
пинг оф дед :D
DDOS-a сейчас стоит опасаться, остальное фигня
брут легко блочится через fail2ban, удаленные уязвимости в openssh? давно не слышал о таких

~~guyvernk~~ ☆
(05.04.10 16:33:50 UTC)

Ответ на: комментарий от guyvernk 05.04.10 16:33:50 UTC

> пинг оф дед :D

да я утрировал канешно :) имелось ввиду ядерная уязвимость :)

удаленные уязвимости в openssh давно не слышал о таких

я тоже :)

брут легко блочится через fail2ban

да я пока не заморачиваюсь :)

itc:~# grep -i invalid /var/log/auth.log | wc -l

670

а как ддос распознать ^_^

anton_jugatsu ★★★★
(05.04.10 17:01:56 UTC) автор топика

Ссылка

Ответ на: комментарий от ventilator 05.04.10 11:24:38 UTC

>И чем же это более удобно?

Это удобно тем, что защищает от выстрела себе в пятку. // К.О.

Еще один дополнительный скрипт, зачем к нему привыкать

Кто не хочет учиться, идет работать в грузчики или во власть.
В сисадминство ему подаваться не след.

nnz ★★★★
(05.04.10 19:30:49 UTC)

Ссылка

Ответ на: комментарий от anton_jugatsu 05.04.10 12:32:08 UTC

>Если у меня -P INPUT DROP и разрешено только ssh и state EST,REL, но на сервере у меня ещё крутятся www,smtp,bind,ftp, базы данных и т.д., то теоретически мой хост уязвим (remote) лишь для брута, openssh уязвимости и ядерной уязвимости (типа ping of death)?

В общем, да. Априорно предполагая, что никакой нечисти, устанавливающей бэкконнект, на твоем серваке нет.

Правда, не упомянута еще одна группа методов вскрытия ssh (кроме брутфорса и дыр в openssh) — то, что объединяется широким термином «социальная инженерия», начиная от кейлоггеров на твоей машине и заканчивая терморектальным криптоанализом. Не то, чтобы я уж очень это подчеркиваю, но забывать тоже не надо :)

Что касается DDoS'а, то тут он возможен в двух видах — на ssh-сервер (легко лечится кнокингом или fail2ban) и на забитие канала, т.е. пинги. Во втором случае сам ты сделать ничего не сможешь, придется обращаться к провайдеру.

Кнокинг и/или fail2ban рекомендую настроить уже сейчас, чтобы не париться потом.

Ну и, традиционно, обновляй софт почаще ;)

nnz ★★★★
(05.04.10 19:40:34 UTC)

Ответ на: комментарий от nnz 05.04.10 19:40:34 UTC

Спасибо большое за советы! Всё по полочкам разложено :)

anton_jugatsu ★★★★
(05.04.10 19:57:47 UTC) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	sms из терминала с пом. gmail-сервиса отправки sms

Admin

Настройка Samba 4

→

Похожие темы