Конфиг iptables для Веб сервера

[DmityiD]

Добрый день, форум. Я тут новенький. Уж очень понравилась идея сайта и форума по этой тематики.
К делу. Занимаюсь новым-старым проектом своим, создаю веб сервер на дому. Наваял тут небольшой конфиг iptables для веб сервера. Выставляю на всеобщее обозрение и жду замечаний и предложений, возможно по защите от ddos. Вообщем все по безопасности.

#!/bin/sh
# Защита от спуфинга (подмена адреса отправителя)
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

#Очистка всех фепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

export IPT="iptables"
# Разрешаем исходящий трафик и запрещаем весь входящий и транзитный:
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# Разрешаем уже инициированные соединения, а также дочерние от них:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Отбрасываем все пакеты, которые не могут быть идентивицированы
#и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP

# Запрет FIN-сканирования
$IPT -A INPUT –p tcp –m tcp --tcp-flags FIN,ACK FIN -j DROP
# Запрет X-сканирования
$IPT -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG –j DROP
# Запрет N-сканирования
$IPT -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
# Запрещаем сканирование NMAP-ом
$IPT -I INPUT -p tcp -m osf --genre NMAP -j DROP
#********************************************************************
# Защита ssh от перебора паролей
$IPT -N FAILLOG
$IPT -A FAILLOG -j LOG --log-prefix "iptables blocked: " --log-level 7
$IPT -A FAILLOG -j DROP
$IPT -A INPUT -p tcp -m tcp --dport 22222 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j FAILLOG
#********************************************************************
# Разрешаем ssh, dns, ldap, ftp и веб сервисы:
$IPT -A INPUT -p tcp --dport 22222 -i eth0 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
# local loopback:
$IPT -A INPUT -i lo -j ACCEPT
# Разрешаем ping:
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
# Блокируем все остальное
$IPT -A INPUT -j DROP

#Вывод информации о состоянии таблиц
route -n
$IPT -L
$IPT -L -v -n
$IPT -L -v -n -t nat

 

[DmityiD]

Видать админов не много на форуме!
Вопрос актуален. И в принципе он по определению не может быть закрыт.

 

[vital]

запрещаем весь входящий

А если захочеццо там какой сервер к-й бы принимал соединения запилить?

 

[DmityiD]

А если захочеццо там какой сервер к-й бы принимал соединения запилить?

Еммм, пример:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22222 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT

Только меняешь порт и протокол и сетевой интерфейс на свой.
Первая строка означает, что все что ты не разрешишь то будет запрещено. То есть tcp порты 22222 и 80 разрешены для входящих соединений, все остальные соединения на любые порты будут запрещены.

 

[DmityiD]

Если есть насущный вопрос, то создавай новую тему и выкладывайте более детально.

 

[vital]

Нету, спасибо за тему. Я действительно не админ ни разу, но заберу к себе в копилку, может когда на впс-е пригодится. Разжевано вполне детально.

 

[DmityiD]

Кто интересуется защитой от DDOS, то ссылка внизу. Хорошая инфа на одном из зарубежных хостингов.
[Hide="0"]

Ссылка скрыта от гостей

 

[Runinterface]

Если интересно могу дать свой конфиг за копеечку.

 

[DmityiD]

Если интересно могу дать свой конфиг за копеечку.

)))
Никогда не думал покупать конфиги. Это странно!
С таким подходом никто не заплатит. Покажи что ты профи и только тогда требуй!

 

[Runinterface]

)))
Никогда не думал покупать конфиги. Это странно!
С таким подходом никто не заплатит. Покажи что ты профи и только тогда требуй!

Мое дело предложить.
Нет так нет, не собираюсь спорить)
google.com и поехал

 

[vital]

Если интересно могу дать свой конфиг за копеечку.

Подобые сообщения крайне не корректны для этого ресурса и этой темы.

 

[Runinterface]

Подобые сообщения крайне не корректны для этого ресурса и этой темы.

С чего бы это?
Я работал над своим конфигом. Писал его знаешь ли.
А этот парень не хочет сам писать его а просто запрашивает его)
Если ему лень поискать в гугле и почитать маны по iptables я тут причем?
Мое дело предложить.

 

[vital]

А этот парень не хочет сам писать его а просто запрашивает его)

Какой парень? Тебя здесь вообще никто не спрашивал. Ты просто пришел и решил побарыжить, а барыг нигде не любят.

 

[Runinterface]

Какой парень? Тебя здесь вообще никто не спрашивал. Ты просто пришел и решил побарыжить, а барыг нигде не любят.

Чушь не порите молодой человек, любой труд должен быть оплачен.
Еще раз повторяю, если человек ленится открыть маны и почитать нужную ему информацию, то с чего бы кто-то, что-то за него должен делать?
Так охладите свой бугурт. Кого вы там не любите, тоже мало кому интересно.

 

[Сергей Попов]

Какой парень? Тебя здесь вообще никто не спрашивал. Ты просто пришел и решил побарыжить, а барыг нигде не любят.

Сам Vital пожаловал ! Рад видеть