Pokaż wyniki od 1 do 1 z 1

Temat: Poprawienie reguł IPTABLES

  1. #1

    Poprawienie reguł IPTABLES

    Ostatnio miałem ataki na swój serwer, zainteresowałem się iptables i mam mały problem. Jak włączę skrypt poniżej to blokuje wszytko co trzeba, ale po 1-2 godzinkach blokuje wszystkie połączenia z serwerem i wszystkich na wszystkich opcjach drop.

    Kod:
    #!/bin/sh
    echo "Czyszczenie tabelek."
    #czyszczenie startych regulek
    iptables -F
    iptables -X
    
    
     
    echo "Pełna blokada wejścia, przekierowania, odblokowanie wyjscia oraz logowania psada."
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t filter
    iptables -X -t filter
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    
    
    echo "Odblokowanie portow."
    
    
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
    iptables -A INPUT -p tcp --dport 9987 -j ACCEPT
    iptables -A INPUT -p udp --dport 9987 -j ACCEPT
    iptables -A INPUT -p tcp --dport 10011 -j ACCEPT
    iptables -A INPUT -p udp --dport 10011 -j ACCEPT
    iptables -A INPUT -p tcp --dport 30033 -j ACCEPT
    iptables -A INPUT -p udp --dport 30033 -j ACCEPT
    iptables -A INPUT -p tcp --dport 41144 -j ACCEPT
    iptables -A INPUT -p udp --dport 2010 -j ACCEPT
    iptables -A INPUT -p tcp --dport 2008 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
    
    
    echo "akceptacja polaczen ustanowionych przez server"
    
    
    iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
    iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
    iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
    
    
    
    
    
    
    echo "Regulki dla obslugi serwera OVH."
    iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp --source proxy.sbg.ovh.net -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp --source proxy.bhs.ovh.net -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
    iptables -A INPUT -i eth0 -p icmp --source 5.135.162.250 -j ACCEPT # 
    iptables -A INPUT -i eth0 -p icmp --source 5.135.162.251 -j ACCEPT # IP dla systemu monitoringu
    
    
    
    
    echo "Odblokowanie mojego adresu ip"
    iptables -A INPUT -s 76.199.40.2 -j ACCEPT
    
    
    echo "ladowanie innych=========================="
    echo "restart fail2banaaana"
    /etc/init.d/fail2ban restart
    echo "Blokada atakow DoS oraz skanowania" 
    
    
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: " 
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP # Metoda ACK (nmap -sA) 
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "FIN scan: " 
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP # Skanowanie FIN (nmap -sF) 
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: " 
    iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP # Metoda Xmas Tree (nmap -sX)
    iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "Null scan: " 
    iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP # Skanowanie Null (nmap -sN) 
    iptables -N syn-flood 
    iptables -A INPUT -p tcp --syn -j syn-flood 
    iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN 
    iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-prefix "SYN-flood: " 
    iptables -A syn-flood -j DROP
    Jest to serwer dedykowany kimsufi z systemem Debian 6, używam go do serwera TeamSpeak i strony.
    Może zrobiłem jakiś błąd proszę o pomoc.
    Ostatnio edytowane przez fnmirk ; 18-04-2013 o 03:02

Uprawnienia

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •