nadejnei.net

Инструменты пользователя

Инструменты сайта

Вы посетили:
пример_рабочего_конфига_iptables

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
пример_рабочего_конфига_iptables [2013/09/03 12:05]
81.222.241.194 		пример_рабочего_конфига_iptables [2013/09/04 00:23] (текущий)
Строка 9: Строка 9:
 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  
--A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j DROP          # (1*)+-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j DROP          # (1)
  
 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP                                  # -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP                                  #
Строка 29: Строка 29:
 -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state INVALID -j DROP
  
--A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT                           # (2*)+-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT                           # (2)
  
 -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT                            # -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT                            #
  
--A INPUT -s ********* -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
  
--A INPUT -s ********** -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
  
--A INPUT -s *********/32 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT      # доступ к zabbix+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT      # доступ к zabbix
  
--A INPUT -s *********/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT         # ssh+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT         # ssh
  
--A INPUT -s **********/32 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
  
--A INPUT -s ***********/32 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT      # https+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT      # https
  
--A INPUT -s **********/32 -p tcp -m state --state NEW -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -j ACCEPT
  
--A INPUT -s ************/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  
--A INPUT -s *************/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  
--A INPUT -s ************/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  
--A INPUT -s ***********/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  
--A INPUT -s ************/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  
--A INPUT -s *************/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  
--A INPUT -s ************/32 -p tcp -m state --state NEW -m tcp --dport 9102 -j ACCEPT    # опять zabbix+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 9102 -j ACCEPT    # опять zabbix
  
--A INPUT -p tcp -m state --state NEW -m tcp --dport 113 -j DROP        # (3*)ident+-A INPUT -p tcp -m state --state NEW -m tcp --dport 113 -j DROP        # (3)ident
  
 -A INPUT -p udp -m udp --dport 137 -j DROP         # широковещательный адресс Microsoft, NetBIOS -A INPUT -p udp -m udp --dport 137 -j DROP         # широковещательный адресс Microsoft, NetBIOS
Строка 89: Строка 89:
 -A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT -A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
  
--A OUTPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT #(4*)+-A OUTPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT #(4)
  
--A OUTPUT -d *********** -p udp -m state --state NEW -m udp --dport 1514 -j ACCEPT #(5*)+-A OUTPUT -d *********** -p udp -m state --state NEW -m udp --dport 1514 -j ACCEPT #(5)
  
--A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT    #(6*)+-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT    #(6)
  
 -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
Строка 99: Строка 99:
 -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT
  
--A OUTPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT   #(7*)+-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT   #(7)
  
 -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 10051 -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 10051 -j ACCEPT
  
--A OUTPUT -d ************/32 -p tcp -m state --state NEW -m tcp --dport 9103 -j ACCEPT+-A OUTPUT -d 111111111 -p tcp -m state --state NEW -m tcp --dport 9103 -j ACCEPT
  
 -A OUTPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Строка 113: Строка 113:
 COMMIT COMMIT
  
 +Применяем настройки iptables-restore < /etc/firewall.rules 
  
-1* - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROPтем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте)  +И пишем автозапуск, создаём файл firewall в корне /etc/network/if-pre-up.d/ 
-2* - открываем доступ для внешней среды, разрешаем входящие для http и https +Содержание: 
-3* - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей  +
-4* разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере +
-5* - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC +
-6* - ntp он и в Африке ntp. куда же нам без него :+
-7* - pop3 через ssl, "безопасная почта"+
  
-Вообще тут можно ещё многое написать, но я решил сделать пометки для более-менее важного. там где вы видите ********/24 и т.п. значения, нужно вписывать доверенные подсети своей локальной, либо удалённой среды, так как в разных подсетях работают разные службы, например саппорт и т.п.+#!/bin/bash 
 + 
 +/sbin/iptables-restore < /etc/firewall.rules   
 + 
 + 
 +1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте)  
 + 
 +2 - открываем доступ для внешней среды, разрешаем входящие для http и https 
 + 
 +3 - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей  
 + 
 +4 - разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере 
 + 
 +5 - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC 
 + 
 +6 - ntp он и в Африке ntp. куда же нам без него :) 
 + 
 +7 - pop3 через ssl, "безопасная почта" 
 + 
 +Вообще тут можно ещё многое написать, но я решил сделать пометки для более-менее важного. там где вы видите 11111111, нужно вписывать доверенные подсети своей локальной, либо удалённой среды, так как в разных подсетях работают разные службы, например саппорт и т.п.
  
 Это конечно не совсем по стандарту PCI DSS, но позволяет не плохо защитить своей сервер в большой структуре. Это конечно не совсем по стандарту PCI DSS, но позволяет не плохо защитить своей сервер в большой структуре.
  
 Конфиг взят из одного "полубоевого веб-сервера" поэтому никаких остальных сведений и подробностей я вам о нём не скажу. Можете и не просить, ну разве что попытками соц.инженерии попытаться вытянуть =) Конфиг взят из одного "полубоевого веб-сервера" поэтому никаких остальных сведений и подробностей я вам о нём не скажу. Можете и не просить, ну разве что попытками соц.инженерии попытаться вытянуть =)
пример_рабочего_конфига_iptables.1378209919.txt.gz · Последнее изменение: 2013/09/03 16:05 (внешнее изменение)

Инструменты страницы

Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki
DokuWiki Appliance - Powered by TurnKey Linux