nadejnei.net

Инструменты пользователя

Инструменты сайта

Вы посетили: установка перекачка_образов установка_ibmmq
пример_рабочего_конфига_iptables

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
пример_рабочего_конфига_iptables [2013/09/03 13:54]
81.222.241.194 		пример_рабочего_конфига_iptables [2013/09/04 00:23] (текущий)
Строка 9: Строка 9:
 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  
--A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j DROP          # (1*)+-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j DROP          # (1)
  
 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP                                  # -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP                                  #
Строка 29: Строка 29:
 -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state INVALID -j DROP
  
--A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT                           # (2*)+-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT                           # (2)
  
 -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT                            # -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT                            #
  
--A INPUT -s ********* -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
  
--A INPUT -s ********** -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
  
--A INPUT -s *********/32 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT      # доступ к zabbix+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT      # доступ к zabbix
  
--A INPUT -s *********/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT         # ssh+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT         # ssh
  
--A INPUT -s **********/32 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
  
--A INPUT -s ***********/32 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT      # https+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT      # https
  
--A INPUT -s **********/32 -p tcp -m state --state NEW -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -j ACCEPT
  
--A INPUT -s ************/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  
--A INPUT -s *************/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  
--A INPUT -s ************/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  
--A INPUT -s ***********/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT+-A INPUT -s 111111111 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  
--A INPUT -s ************/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
  
--A INPUT -s *************/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
  
--A INPUT -s ************/32 -p tcp -m state --state NEW -m tcp --dport 9102 -j ACCEPT    # опять zabbix+-A INPUT -s 1111111111 -p tcp -m state --state NEW -m tcp --dport 9102 -j ACCEPT    # опять zabbix
  
--A INPUT -p tcp -m state --state NEW -m tcp --dport 113 -j DROP        # (3*)ident+-A INPUT -p tcp -m state --state NEW -m tcp --dport 113 -j DROP        # (3)ident
  
 -A INPUT -p udp -m udp --dport 137 -j DROP         # широковещательный адресс Microsoft, NetBIOS -A INPUT -p udp -m udp --dport 137 -j DROP         # широковещательный адресс Microsoft, NetBIOS
Строка 89: Строка 89:
 -A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT -A OUTPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
  
--A OUTPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT #(4*)+-A OUTPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT #(4)
  
--A OUTPUT -d *********** -p udp -m state --state NEW -m udp --dport 1514 -j ACCEPT #(5*)+-A OUTPUT -d *********** -p udp -m state --state NEW -m udp --dport 1514 -j ACCEPT #(5)
  
--A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT    #(6*)+-A OUTPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT    #(6)
  
 -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
Строка 99: Строка 99:
 -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 1521 -j ACCEPT
  
--A OUTPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT   #(7*)+-A OUTPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT   #(7)
  
 -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 10051 -j ACCEPT -A OUTPUT -p tcp -m state --state NEW -m tcp --dport 10051 -j ACCEPT
  
--A OUTPUT -d ************/32 -p tcp -m state --state NEW -m tcp --dport 9103 -j ACCEPT+-A OUTPUT -d 111111111 -p tcp -m state --state NEW -m tcp --dport 9103 -j ACCEPT
  
 -A OUTPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Строка 119: Строка 119:
  
 #!/bin/bash #!/bin/bash
 +
 /sbin/iptables-restore < /etc/firewall.rules   /sbin/iptables-restore < /etc/firewall.rules  
  
  
-1- DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте)  +1 - DROP TCP пакетов с данными флагами позволяет защититься от сканирования. (примечание. спросите почему не REJECT ? ведь отклонение тоже вроде как защищает ! А вот ничего подобного, отклонение принимает пакеты и отклоняет их, давая потенциальному взломщику/ботнету/конкуренту собрать фингерпринты с ваших портов и получить сведения о ваших сервисах в сети и что конкретно у вас фильтруется. так что лучше выставить значение DROP, тем самым "притвориться мёртвым", это затруднит сканирование и позволит немного запутать человека или бота на атакующем хосте)  
-2- открываем доступ для внешней среды, разрешаем входящие для http и https + 
-3- с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей  +2 - открываем доступ для внешней среды, разрешаем входящие для http и https 
-4- разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере + 
-5- разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC +3 - с точки зрения безопасности, ident лучше отрубать, про identd можно будет написать отдельную статью, так как правильная настройка этого протокола сводится к массе подводных камней и особенностей, так как содержит парочку критических и средних уязвимостей  
-6- ntp он и в Африке ntp. куда же нам без него :) + 
-7- pop3 через ssl, "безопасная почта"+4 - разрешаем "исходящим" выполнять удалённые shell команды на нашем удалённом web-сервере 
 + 
 +5 - разрешаем "жителям одной из нашей подсети" шифрованный порт для LOG-сервера OSSEC 
 + 
 +6 - ntp он и в Африке ntp. куда же нам без него :) 
 + 
 +7 - pop3 через ssl, "безопасная почта"
  
-Вообще тут можно ещё многое написать, но я решил сделать пометки для более-менее важного. там где вы видите ********/24 и т.п. значения, нужно вписывать доверенные подсети своей локальной, либо удалённой среды, так как в разных подсетях работают разные службы, например саппорт и т.п.+Вообще тут можно ещё многое написать, но я решил сделать пометки для более-менее важного. там где вы видите 11111111, нужно вписывать доверенные подсети своей локальной, либо удалённой среды, так как в разных подсетях работают разные службы, например саппорт и т.п.
  
 Это конечно не совсем по стандарту PCI DSS, но позволяет не плохо защитить своей сервер в большой структуре. Это конечно не совсем по стандарту PCI DSS, но позволяет не плохо защитить своей сервер в большой структуре.
  
 Конфиг взят из одного "полубоевого веб-сервера" поэтому никаких остальных сведений и подробностей я вам о нём не скажу. Можете и не просить, ну разве что попытками соц.инженерии попытаться вытянуть =) Конфиг взят из одного "полубоевого веб-сервера" поэтому никаких остальных сведений и подробностей я вам о нём не скажу. Можете и не просить, ну разве что попытками соц.инженерии попытаться вытянуть =)
пример_рабочего_конфига_iptables.1378216478.txt.gz · Последнее изменение: 2013/09/03 17:54 (внешнее изменение)

Инструменты страницы

Если не указано иное, содержимое этой вики предоставляется на условиях следующей лицензии: GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki
DokuWiki Appliance - Powered by TurnKey Linux