Konfiguracja IPTables, od czego zacząć?

[Gość]

Witam,
Chcę zamknąć wszystkie porty na moim serwerze dedykowanym oprócz tych których potrzebuje, wytłumaczy mi ktoś jak można to zrobić? Nic nie ogarniam z tych poradników do iptables, jest jakaś nakładka na to? bądź jakiś inny firewall? Dostęp do dedyka mam tylko przez ssh. Może jakiś panel www, przez który skonfiguruje iptables, lub coś z poziomu konsoli, co nie wymaga znajomości tych poleceń?

Edytowano Grudzień 25, 2015 przez Gość (zobacz historię edycji)

[WireBoot 3]

Najprościej za pomoca CSF

firewall prosty w instalacji obsłudze

 

 

http://configserver.com/cp/csf.html

 

a co najważniejsze - "daje rade".

Wady?

Jesli używasz jakis swoich regułek w iptables - musisz dodawac wszystko przez csf'a, , kazdorazowy restart csf czyści wszystkie dodane regułki w iptables (i wgrywa te zdefiniowane u siebie w /etc/csf/.... )

[Gość]

Najprościej za pomoca CSF

firewall prosty w instalacji obsłudze

 

 

http://configserver.com/cp/csf.html

 

a co najważniejsze - "daje rade".

Wady?

Jesli używasz jakis swoich regułek w iptables - musisz dodawac wszystko przez csf'a, , kazdorazowy restart csf czyści wszystkie dodane regułki w iptables (i wgrywa te zdefiniowane u siebie w /etc/csf/.... )

 

Jestem zielony w tych sprawach, można prosić o wytłumaczenie jak to zainstalować i uruchomić? Mam dostęp z ssh jedynie i ftp.

 

Nie mam Direct Admina ani innego panelu.

Edytowano Grudzień 25, 2015 przez Gość (zobacz historię edycji)

[WireBoot 3]

Jedynie?

Dostęp do SSH (mam nadzieje ze z konta root) to tak na prawde wszystko co potrzeba adminowi zeby w pełni całym serwerem zarzadzać.

 

 

A co do instalcji, wystarczy pobrac i przeczytać README, pisze w nim jak wygląda instalacja

 

w skrócie:

 

 

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

[Łukasz Ostrowski 593]

Jeśli przerosła Cie banalna instrukcja CSF i proste tabelki iptables, to może jednak zleć to komuś nim sobie odetniesz dostęp do maszyny..

[Gość]

 

Jedynie?

Dostęp do SSH (mam nadzieje ze z konta root) to tak na prawde wszystko co potrzeba adminowi zeby w pełni całym serwerem zarzadzać.

 

 

A co do instalcji, wystarczy pobrac i przeczytać README, pisze w nim jak wygląda instalacja

 

w skrócie:

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

 

Okej, dziękuję Z tego co ogarnąłem to tym się zarządza z poziomu www, ale można również za pomocą terminala. Biore się do ogarniania manuala i zobaczę co z tego wyjdzie.

 

Strasznie to wszystko rozbudowane i dla kogoś kto zaczyna przygodę z linuxem nie wygląda to zachęcająco

 

[Gość]

Na razie utknąłem na etapie instalacji, tzn. zainstalowałem już csf, ustawiłem w configu login i haslo do UI, zbindowałem ip, port, wszystko w teorii dobrze, ale panel jest nieosiągalny. Opcję "testing" wyłączyłem, oczywiście zrestartowałem csf za pomocą komendy csf -r

 

Korzystam z Debiana 8, w logach po restarcie pokazało coś takiego:

*WARNING* Binary location for [uNZIP] [/usr/bin/unzip] in /etc/csf/csf.conf is either incorrect, is not installed or is not executable
*WARNING* Binary location for [HOST] [/usr/bin/host] in /etc/csf/csf.conf is either incorrect, is not installed or is not executable
*WARNING* Missing or incorrect binary locations will break csf and lfd functionality
*WARNING* URLGET set to use LWP but perl module is not installed, reverting to HTTP::Tiny

Edytowano Grudzień 25, 2015 przez Gość (zobacz historię edycji)

[blfr 225]

Do tego zupełnie wystarczy iptables. Ustawiasz domyślną politykę dla INPUTu na DROP

 

iptables -P INPUT DROP

a wcześniej dajesz sobie dostęp do wybranych usług. Na przykład ssh, http i https:

 

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Dodatkowo potrzebujesz automatycznego ustawiania reguł po restarcie. To już zależy od dystrybucji.

 

I tyle. Nie ma potrzeby instalować dodatkowego oprogramowania, a już szczególnie nie powinieneś tego robić z tarballi.

Edytowano Grudzień 25, 2015 przez blfr (zobacz historię edycji)

[Gość]

Do tego zupełnie wystarczy iptables. Ustawiasz domyślną politykę dla INPUTu na DROP

 

iptables -P INPUT DROP

a wcześniej dajesz sobie dostęp do wybranych usług. Na przykład ssh, http i https:

 

iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Dodatkowo potrzebujesz automatycznego ustawiania reguł po restarcie. To już zależy od dystrybucji.

 

I tyle. Nie ma potrzeby instalować dodatkowego oprogramowania, a już szczególnie nie powinieneś tego robić z tarballi.

 

 

a co z innymi zabezpieczeniami, które posiada csf? Ochrona przed syn-flood, blokowanie pingowania itp.?

 

Da się zablokować przyjmowanie i odpowiedź na ping?

A i czy to wystarczy do całkowitego zablokowania ruchu na wszystkich portach oprócz tych które dodam?

 

Edytowano Grudzień 25, 2015 przez Gość (zobacz historię edycji)

[blfr 225]

a co z innymi zabezpieczeniami, które posiada csf? Ochrona przed syn-flood, blokowanie pingowania itp.?

CSF polega na iptables, więc wszystko da się zrobić, ale dlaczego chcesz blokować pingowanie na przykład? Masz jakiś cel, czy tak dla sportu?

 

A i czy to wystarczy do całkowitego zablokowania ruchu na wszystkich portach oprócz tych które dodam?

Wystarczy.

[Gość]

CSF polega na iptables, więc wszystko da się zrobić, ale dlaczego chcesz blokować pingowanie na przykład? Masz jakiś cel, czy tak dla sportu?

 

 

Wystarczy.

 

Chcę zablokować bo nie jest mi do niczego potrzebne, więc dlaczego ma być dozwolone?

[blfr 225]

Żeby ktoś mógł sprawdzić, czy Twój serwer w ogóle odpowiada, kiedy ma problemy z wejściem na stronę na przykład.

[Gość]

Żeby ktoś mógł sprawdzić, czy Twój serwer w ogóle odpowiada, kiedy ma problemy z wejściem na stronę na przykład.

 

Ogólnie to hostuje serwery gier. Nie uważam żeby ta opcja była potrzebna. Statusy serwerów w każdej chwili mogą zobaczyć na stronie. Duże ilości przychodzących i wychodzących połączeń mogą obciążać maszynę, a na pewno znajdzie się jakaś wredna osoba która będzie mnie zaśmiecać większymi pakietami.

 

To da się czy się nie da wyłączyć?

Edytowano Grudzień 25, 2015 przez Gość (zobacz historię edycji)

[blfr 225]

Jak hostujesz serwery gier, to tym bardziej ktoś może chcieć sprawdzić opóźnienie do serwera.

 

Napisałem, jak wyłączyć, ale "obciążanie" maszyny pingiem to stan rzeczy tak gdzieś z 1997 roku.

[Gość]

Jak hostujesz serwery gier, to tym bardziej ktoś może chcieć sprawdzić opóźnienie do serwera.

 

Napisałem, jak wyłączyć, ale "obciążanie" maszyny pingiem to stan rzeczy tak gdzieś z 1997 roku.

 

No dobra, nie będę się kłócił z kimś kto ma jednak większe doświadczenie w tym. Jak na razie dzięki za pomoc, w razie czego odezwe się w tym temacie

[Pan Kot 1535]

Najprościej za pomoca CSF

firewall prosty w instalacji obsłudze

 

 

http://configserver.com/cp/csf.html

 

a co najważniejsze - "daje rade".

Wady?

Jesli używasz jakis swoich regułek w iptables - musisz dodawac wszystko przez csf'a, , kazdorazowy restart csf czyści wszystkie dodane regułki w iptables (i wgrywa te zdefiniowane u siebie w /etc/csf/.... )

 

Dodam jedno do tego. Jeśli ktoś ma własne skrypty to wystarczy je sobie dodać do CSFowego posta. Tworzymy sobie pliczek /etc/csf/csfpost.sh (chmod 755) i wrzucamy do niego to co potrzebne.

 

Przykładowo, ja w nim mam:

#!/bin/bash
set -eu
/etc/init.d/fail2ban reload

Należy tylko pamiętać, żeby używać ścieżek absolutnych do wszystkich skryptów bo CSF z tego co pamiętam odpala to z jakiegoś smutnego interpretera (a nie /bin/bash jak mu zalecam), przez co np. service fail2ban reload mi nie śmigał i musiałem się odwoływać do skryptu init.d jak wyżej.

 

Ale de facto spełnia swoje założenia, zawsze można sobie w tym skrypcie odpalić inny jak trzeba już w powłoce bash.

 

Edytowano Grudzień 26, 2015 przez Archi (zobacz historię edycji)

[Gość]

Okej, napotkałem na problem teraz.

Dodałem regułki do iptables, po czym zmieniłem INPUT na DROP oraz FORWARD na DROP. Po tych zabiegach nie mogę połączyć się na serwer przez SFTP ani przez ssh, w sumie to ten sam port. Po zmianie INPUT na ACCEPT - działa.

 

Port SSH mam ustawiony na 22, jak już wszystko ustawię to zmienię go na inny.

 

Oto jakie porty dodałem. Proszę o pomoc.

 

Jak jeszcze jakieś info potrzebne to proszę napisać co podać

#Zasady
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#SSH
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 7069 -j ACCEPT

#Porty TCP
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 115 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 27014:27050 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 27036 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 27037 -j ACCEPT

#Porty UDP
iptables -A INPUT -p udp -m udp --dport 27000:27030 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27031 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 27036 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 4380 -j ACCEPT

Edytowano Grudzień 26, 2015 przez Gość (zobacz historię edycji)