Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
Dareksbs

Firewall iptablets - Debian

Przez Dareksbs, w Administracja Serwerów

Polecane posty

Dareksbs    0

Dareksbs
Napisano

Witam,

 

Aktualnie bawię się ustawieniami firewall'a na debianie i staram się ogarnąć jak dobrze zabezpieczyć serwer. Aktualnie (chyba biggrin.png) zablokowałem wszystko i przepuściłem porty 20,21,22,25,80 a reszta prawdopodobnie jest zablokowana

 

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT all -- anywhere anywhere

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT tcp -- anywhere anywhere multiport dports ftp-data,ftp,ssh,www state NEW

ACCEPT udp -- anywhere anywhere multiport dports 20,fsp,ssh,www state NEW

ACCEPT icmp -- anywhere anywhere icmp echo-request

REJECT tcp -- anywhere anywhere reject-with tcp-reset

REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable

 

Chain FORWARD (policy ACCEPT)

target prot opt source destination

 

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT tcp -- anywhere anywhere multiport sports ftp-data,ftp,ssh,smtp,www state NEW

ACCEPT udp -- anywhere anywhere multiport sports 20,fsp,ssh,25,www state NEW

ACCEPT icmp -- anywhere anywhere icmp echo-request

 

Używałem tych komend w skrypcie bash

iptables -P INPUT DROP
iptables -P OUTPUT DROP
IPORTS=20,21,22,80
OPORTS=20,21,22,25,80
iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable

 

Ale mam jeszcze kilka pytań a mianowicie czy możecie mi podać komendę która blokuje i odblokowuje jakiś port, bo jak wiadomo to jest skrypt bash i raczej nie będę go odpalał jeszcze raz jak będę chciał dodać jakiś port :P tak więc potrzebuje dwóch komend, jedną do odblokowania portu druga do zablokowania. A następne pytanie jest takie czy to wystarczy... jeśli nie to co jeszcze muszę zrobić aby mój serwer był w miarę bezpieczny, czy zablokowałem prawidłowo wszystkie porty ? czy muszę poszukać jeszcze czegoś w google na temat iptablets aby uleprzyć zabezpieczenie firewall.

 

Pozdrawiam

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

pietrovek    19

pietrovek
Napisano (edytowany)

Przy tej taktyce 

iptables -P OUTPUT DROP

powinieneś stosować dla obu kierunków więc:

 

otwarcie portu dla komunikowania się danej usługi:

iptables -A INPUT -p tcp --dport NUMER_PORTU -j ACCEPT
iptables -A OUTPUT -p tcp --dport NUMER_PORTU -j ACCEPT

 

i dla zamknięcia wcześniej otrwartego portu:

iptables -D INPUT -p tcp --dport NUMER_PORTU -j ACCEPT
iptables -D OUTPUT -p tcp --dport NUMER_PORTU -j ACCEPT

 

abyś był bezpieczny zainteresuj się "fail2ban" - google resztę powie smile.png

 

aha...regułki "kasują się" przy każdym reboocie więc powinieneś mieć stworzony skrypt (lub używać tego ktrórego wykorzystałeś do stworzenia obecnych reguł) który będzie tworzył regulki przy uruchamianiu systemu...

Edytowano przez pietrovek (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość Kamikadze   

Gość Kamikadze
Napisano

aha...regułki "kasują się" przy każdym reboocie więc powinieneś mieć stworzony skrypt (lub używać tego ktrórego wykorzystałeś do stworzenia obecnych reguł) który będzie tworzył regulki przy uruchamianiu systemu...

 

Najlepiej zapisywać wszystkie dane do skryptu lub pliku a później dodać do autostartu wpisywanie regułek a automatu :)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Administracja Serwerów
×