• Профессиональным авторам. Срочный заказ!

    Необходимо сделать развернутое описание каждой из наших услуг. Ограничений на объем текста нет. ЦА - руководство компаний (сухой технический текст). При отсутствии исполнителей среди участников форума, работа будет передана фрилансерам 10 февраля.

    Подробнее о заказе ...

Конфиг iptables для Веб сервера

D

DmityiD

Active member
05.12.2016
29
18
Добрый день, форум. Я тут новенький. Уж очень понравилась идея сайта и форума по этой тематики.
К делу. Занимаюсь новым-старым проектом своим, создаю веб сервер на дому. Наваял тут небольшой конфиг iptables для веб сервера. Выставляю на всеобщее обозрение и жду замечаний и предложений, возможно по защите от ddos. Вообщем все по безопасности.

#!/bin/sh
# Защита от спуфинга (подмена адреса отправителя)
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

#Очистка всех фепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

export IPT="iptables"
# Разрешаем исходящий трафик и запрещаем весь входящий и транзитный:
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# Разрешаем уже инициированные соединения, а также дочерние от них:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Отбрасываем все пакеты, которые не могут быть идентивицированы
#и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP

# Запрет FIN-сканирования
$IPT -A INPUT –p tcp –m tcp --tcp-flags FIN,ACK FIN -j DROP
# Запрет X-сканирования
$IPT -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG –j DROP
# Запрет N-сканирования
$IPT -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
# Запрещаем сканирование NMAP-ом
$IPT -I INPUT -p tcp -m osf --genre NMAP -j DROP
#********************************************************************
# Защита ssh от перебора паролей
$IPT -N FAILLOG
$IPT -A FAILLOG -j LOG --log-prefix "iptables blocked: " --log-level 7
$IPT -A FAILLOG -j DROP
$IPT -A INPUT -p tcp -m tcp --dport 22222 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j FAILLOG
#********************************************************************
# Разрешаем ssh, dns, ldap, ftp и веб сервисы:
$IPT -A INPUT -p tcp --dport 22222 -i eth0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
# local loopback:
$IPT -A INPUT -i lo -j ACCEPT
# Разрешаем ping:
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
# Блокируем все остальное
$IPT -A INPUT -j DROP

#Вывод информации о состоянии таблиц
route -n
$IPT -L
$IPT -L -v -n
$IPT -L -v -n -t nat
 
D

DmityiD

Active member
05.12.2016
29
18
Видать админов не много на форуме! :)
Вопрос актуален. И в принципе он по определению не может быть закрыт.
 
D

DmityiD

Active member
05.12.2016
29
18
А если захочеццо там какой сервер к-й бы принимал соединения запилить?
Еммм, пример:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22222 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT

Только меняешь порт и протокол и сетевой интерфейс на свой.
Первая строка означает, что все что ты не разрешишь то будет запрещено. То есть tcp порты 22222 и 80 разрешены для входящих соединений, все остальные соединения на любые порты будут запрещены.
 
  • Нравится
Реакции: vital
D

DmityiD

Active member
05.12.2016
29
18
Если есть насущный вопрос, то создавай новую тему и выкладывайте более детально.
 
V

vital

Нету, спасибо за тему. Я действительно не админ ни разу, но заберу к себе в копилку, может когда на впс-е пригодится. Разжевано вполне детально.
 
D

DmityiD

Active member
05.12.2016
29
18
Кто интересуется защитой от DDOS, то ссылка внизу. Хорошая инфа на одном из зарубежных хостингов.
[Hide="0"]
 
Последнее редактирование модератором:
Runinterface

Runinterface

Well-known member
24.10.2016
52
40
Если интересно могу дать свой конфиг за копеечку.
 
Runinterface

Runinterface

Well-known member
24.10.2016
52
40
)))
Никогда не думал покупать конфиги. Это странно!
С таким подходом никто не заплатит. Покажи что ты профи и только тогда требуй!
Мое дело предложить.
Нет так нет, не собираюсь спорить)
google.com и поехал
 
Runinterface

Runinterface

Well-known member
24.10.2016
52
40
Подобые сообщения крайне не корректны для этого ресурса и этой темы.
С чего бы это?
Я работал над своим конфигом. Писал его знаешь ли.
А этот парень не хочет сам писать его а просто запрашивает его)
Если ему лень поискать в гугле и почитать маны по iptables я тут причем?
Мое дело предложить.
 
Runinterface

Runinterface

Well-known member
24.10.2016
52
40
Какой парень? Тебя здесь вообще никто не спрашивал. Ты просто пришел и решил побарыжить, а барыг нигде не любят.
Чушь не порите молодой человек, любой труд должен быть оплачен.
Еще раз повторяю, если человек ленится открыть маны и почитать нужную ему информацию, то с чего бы кто-то, что-то за него должен делать?
Так охладите свой бугурт. Кого вы там не любите, тоже мало кому интересно.
 
Мы в соцсетях: