Zamierzam reinstalować serwer debiana, a po reinstalacji skonfigurować iptables, tak aby się zabezpieczyć przed wszelkimi złymi ludźmi, ddosami itd. Będą tworzone konta dla paru ludzi - jest to serwer atmana, gdzie stoi parę serwerów gier. Logowanie będzie wymagało klucz RSA - wygeneruję je dla tych użytkowników i im wyślę. Co do iptables, mam prośbę abyście swoim fachowym okiem sprawdzili, czy dobrze jest to napisane. Będę używał dwóch skryptów. Jeden taki ogólny, a drugi bardziej pod obronę przed ddos. Poniżej wysyłam obydwa skrypty i czekam na opinię.
[TABLE="align: center"]
[TR]
[TD][/TD]
[/TR]
[TR]
[TD="class: code"]http://pastebin.com/Pn798sUj
[/TD]
[/TR]
[/TABLE]
Skrypt znaleziony w internecie.
[TABLE="align: center"]
[TR]
[TD]
[/TD]
[/TR]
[TR]
[TD="class: code"]http://pastebin.com/HaseHFDM
[/TD]
[/TR]
[/TABLE]
Konfiguracja iptables
Wklej cytowany tekst w tagach Code lub quote.
Widzę używasz firewalla uniwersalnego... Rzeczywiście tyle usług masz uruchomionych na serwerze?
Z takim podejściem można sobie trochę krzywdy zrobić.
Taki firewall jeszcze sobie trzeba dostosować pod siebie.
2 skryptów nie uruchomisz na raz. Jeden czyści reguły drugiego
Czas chyba pouczyć się o firewallach i z tych dwóch złożyć jednego lub stworzyć coś swojego nowego, bo daleko nie zajdziesz.
Widzę używasz firewalla uniwersalnego... Rzeczywiście tyle usług masz uruchomionych na serwerze?
Z takim podejściem można sobie trochę krzywdy zrobić.
Taki firewall jeszcze sobie trzeba dostosować pod siebie.
2 skryptów nie uruchomisz na raz. Jeden czyści reguły drugiego
Czas chyba pouczyć się o firewallach i z tych dwóch złożyć jednego lub stworzyć coś swojego nowego, bo daleko nie zajdziesz.
Przejrzałem ten (pierwszy) skrypt pobieżnie i jest tam parę błędów, np:
- SSH z 22/udp nie korzysta z tego co wiem, demon sshd słucha u Ciebie na tym porcie?
- te ostatnie reguły, gdzie zabezpieczasz się przed klasami wew itp. - tam masz błąd logiczny - pomijając jaki jest tego sens. Np. jedna z reguł mówi że nie możesz wejść z adresu 10.0.0.0/8 przez eth0 - nie prawda, bo wcześniej masz wszyscy "-p tcp -s 0/0" tzn zewsząd mogą np. na port 22
Jak już to te ostatnie linijki powinny być na samym początku.
- DNS po 53/tcp też nie chodzi, no chyba że używasz synchronizacji własnych serwerów.
Jest tego jeszcze trochę, np masz takie super zabezpieczenie:
i co one daje jak wyżej mówisz, że każdy "-s 0/0" może
- SSH z 22/udp nie korzysta z tego co wiem, demon sshd słucha u Ciebie na tym porcie?
- te ostatnie reguły, gdzie zabezpieczasz się przed klasami wew itp. - tam masz błąd logiczny - pomijając jaki jest tego sens. Np. jedna z reguł mówi że nie możesz wejść z adresu 10.0.0.0/8 przez eth0 - nie prawda, bo wcześniej masz wszyscy "-p tcp -s 0/0" tzn zewsząd mogą np. na port 22
Jak już to te ostatnie linijki powinny być na samym początku.- DNS po 53/tcp też nie chodzi, no chyba że używasz synchronizacji własnych serwerów.
Jest tego jeszcze trochę, np masz takie super zabezpieczenie:
Kod: Zaznacz cały
$IPTABLES -A INPUT -s $KOMP -j ACCEPT