LINUX.ORG.RU
ФорумAdmin

Настройка брандмауэра

 


0

1

Здравствуйте! Вопрос будет о настройке брандмауэра на сервере linux. Настраивать буду iptables, хотя вопрос не о нём, а о брандмауэрах вообще. Имеется сервер, используемый как шлюз Интернета eth0 - wan-интерфейс, eth1 - lan-интерфейс. Во многих публикациях читал о необходимости фильтров для защиты сервера и сети от нежелательных вторжений или от чего-то ещё. Вот в частности на www.iptables.ru написано что нужно добавить фильтр

-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT
Ну с блокировкой SYN и FIN пакетов понятно - нельзя позволить из Интернета устанавливать и завершать соединения с сервером А как быть с udp и icmp? Один виндовый брандмауэр по умолчанию блокирует фрагментированные дейтаграммы. А как быть с транзитными пакетами в lan / из lan? В общем знания мои в этом вопросе скудны и разрознены. Помогите разобраться.

★★★★★

Последнее исправление: sunny1983 (всего исправлений: 1)

Я делал так: блокировал весь входящий трафик:

$ sudo iptables -P INPUT DROP

И разрешал только соединения по локалхосту, из внутренней сети и прием уже установленных соединений:

$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -s 192.168.222.0/24 -i eth1 -j ACCEPT
$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

massive
()

Если по феншуям, то делаешь дефолт полиси DROP, а потом разрешаешь, что тебе нужно.

Насчёт запрета внешних коннектов. А если ты захочешь по ссх снаружи зайти?

aleks13
()
Ответ на: комментарий от spqr

Зачем на граничном маршрутизаторе между интернетом файрвол??? Может, вы и дверь не закрываете на ключ уходя из дома?

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Ключ является аналогом пароля к службе, а не закупоренным портам. Тут скорее будет похоже на закладывание форточки кирпичом.

spqr ★★★
()
Ответ на: комментарий от sunny1983

Кстати с теми правилами, что у massive пинг не работает.

Это на его совести
Тупо дропая icmp можно поиметь очень весёлых проблем
http://www.znep.com/~marcs/mtu/

af5 ★★★★★
()
Ответ на: комментарий от spqr

spqr

Внезапно, спрошу --- а зачем тебе вообще брандмауер?


Ну вообще, я iptables активно использую: маскарадинг SNAT, проброс портов DNAT, из фильтрующих цепочек - FORWARD, у меня сеть разбита на подсети, каждому отделу - своя подсеть, и соответственно для каждого отдела по паре правил в FORWARD - на входящие и исходящие пакеты. Всё остальное - REJECT. По счётчикам удобно смотреть, какой отдел сколько трафика жрёт. В сети примерно 40 клиентов. Тут же блокировки стоят для тех кому интернет вообще не полагается, также блокирую rutracker.org иначе торрентоманы весь канал себе загробастают.
А вот зачем нужно закрывать порты пока не могу понять, ведь если нет программы которая данный бы порт слушала один хрен закрыт он или открыт.

sunny1983 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.