[iptables] что запихнуть в iptables для публичной тачки?

0

3

Сабж. Я вот такое хочу:

iptables -A INPUT -m set --match-set BASTARDS src -j DROP
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED  -j ACCEPT

#basic filtering
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j SET --add-set BASTARDS
iptables -A INPUT -p tcp --dport 20:21 -j SET --add-set BASTARDS

#SSH guard
iptables -A INPUT -p tcp --syn --dport 22    -m recent --rcheck --name SSH --rsource -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 25999 -m recent --set    --name SSH -j REJECT
iptables -A INPUT -p tcp --syn --dport 26000 -m recent --remove --name SSH -j DROP


iptables -I OUTPUT -m set --match-set BASTARDS dst -j REJECT

Наверно стоит ограничить кол-во соединений для любого порта, не только для 80. Что ещё такого не сильно задротского впихнуть? Или угомониться на том что есть?

В принципе, я неуловимый Джо, но пару раз сайт знакомых на этой тачке завалить пытались.

Ссылка

←	Уведомление о электронной почте на мобильный в виде СМС сообщения

как в переменную занести данные если название переменной меняется

→

iptables -P INPUT DROP


В конце, я думаю не помешает)))

pyatak123 ★
(22.03.12 16:46:22 MSK)

Ответ на: комментарий от pyatak123 22.03.12 16:46:22 MSK

смысла нет, у меня нет лишних открытых портов. Сканерам, конечно, это жизнь осложнит, но и мне тоже.

true_admin ★★★★★
(22.03.12 16:50:23 MSK) автор топика

Ответ на: комментарий от true_admin 22.03.12 16:50:23 MSK

Мне кажется что это ничего не усложнит так как ... [code=bash]iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT[/code] И хуже тоже не будет.

pyatak123 ★
(22.03.12 16:56:17 MSK)

Ответ на: комментарий от pyatak123 22.03.12 16:56:17 MSK

тогда что это даст? :) Не будет icmp port uncreachable? Это мне уже самому неудобно. Например, будет тупить nginx если упадёт локальный вебсайт (nginx проксирует соединения).

true_admin ★★★★★
(22.03.12 17:01:09 MSK) автор топика

Ответ на: комментарий от true_admin 22.03.12 17:01:09 MSK

Даст, если у вас появится сервис который откроет соответствующий сокет, который сразу будет торчать наружу. Мне кажется, что правильно действовать от обратного, есть сервис, открыл, а не закрывать если он вдруг появится. Почему будет тупить nginx, если он на этой машине на которой вы настраиваете пакетный фильтр?

pyatak123 ★
(22.03.12 17:09:42 MSK)

Ссылка

man hashlimit

man TCP syncookies

man port knocking

man TARPIT

Chaser_Andrey ★★★★★
(22.03.12 17:24:38 MSK)

iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

это, конечно, стрёмная тема....

ещё лучше бы перекинуть ссх на какой-то левый порт и добавить фильтрацию по маку

flant ★★★★
(22.03.12 20:41:58 MSK)

Ответ на: комментарий от flant 22.03.12 20:41:58 MSK

почему стрёмная?

А ссх и так закрыт, см. --recent. или оно не так работает?

true_admin ★★★★★
(22.03.12 22:27:40 MSK) автор топика

Ответ на: комментарий от true_admin 22.03.12 22:27:40 MSK

Потому что эквивалент

iptables -A INPUT -j ACCEPT

ЕМНИП, new || established || related = 1

router ★★★★★
(22.03.12 22:44:06 MSK)

Ответ на: комментарий от router 22.03.12 22:44:06 MSK

там есть ещё INVALID.

true_admin ★★★★★
(22.03.12 22:51:58 MSK) автор топика

Ссылка

Ответ на: комментарий от router 22.03.12 22:44:06 MSK

я понял, надо принять RELATED, ESTABLISHED, а вот с NEW надо повнимательнее

true_admin ★★★★★
(22.03.12 22:55:50 MSK) автор топика

Ссылка

Оффтопик: возьми CIS для rhel ( или для debian, но он гораздо старее ) , выкинь параною по вкусу - остальное весьма годно для любых машин.

Ну там жёсткий запрет ssh младше v2, запрет доступа root, ограничения попыток через pam_tally2, ограничение использования команды su и т.п.

router ★★★★★
(22.03.12 23:01:06 MSK)

Ссылка

Ответ на: комментарий от Chaser_Andrey 22.03.12 17:24:38 MSK

разыгнорил. tarpit подумаю, port knocking уже в правилах есть, вместо hashlimit стоит connlimit (хотя его можно сильно по-разному использовать), syncookies ... Ммм, да, точно, защиту от флуда надо сделать.

true_admin ★★★★★
(22.03.12 23:45:31 MSK) автор топика