Poprawienie regu

Konfiguracja serwerów, usług, itp.
11pawlo
Posty: 8
Rejestracja: 17 lipca 2012, 02:38

Poprawienie reguł IPTABLES

Post autor: 11pawlo »

Ostatnio miałem ataki na swój serwer, zainteresowałem się iptables i mam mały problem. Jak włączę skrypt poniżej to blokuje wszytko co trzeba, ale po 1-2 godzinkach blokuje wszystkie połączenia z serwerem i wszystkich na wszystkich opcjach drop.

Kod: Zaznacz cały

#!/bin/sh
echo "Czyszczenie tabelek."
#czyszczenie startych regulek
iptables -F
iptables -X


 
echo "Pełna blokada wejścia, przekierowania, odblokowanie wyjscia oraz logowania psada."
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


echo "Odblokowanie portow."


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9987 -j ACCEPT
iptables -A INPUT -p udp --dport 9987 -j ACCEPT
iptables -A INPUT -p tcp --dport 10011 -j ACCEPT
iptables -A INPUT -p udp --dport 10011 -j ACCEPT
iptables -A INPUT -p tcp --dport 30033 -j ACCEPT
iptables -A INPUT -p udp --dport 30033 -j ACCEPT
iptables -A INPUT -p tcp --dport 41144 -j ACCEPT
iptables -A INPUT -p udp --dport 2010 -j ACCEPT
iptables -A INPUT -p tcp --dport 2008 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT


echo "akceptacja polaczen ustanowionych przez server"


iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED






echo "Regulki dla obslugi serwera OVH."
iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.sbg.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source proxy.bhs.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --source 5.135.162.250 -j ACCEPT # 
iptables -A INPUT -i eth0 -p icmp --source 5.135.162.251 -j ACCEPT # IP dla systemu monitoringu




echo "Odblokowanie mojego adresu ip"
iptables -A INPUT -s 76.199.40.2 -j ACCEPT


echo "ladowanie innych=========================="
echo "restart fail2banaaana"
/etc/init.d/fail2ban restart
echo "Blokada atakow DoS oraz skanowania" 


iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: " 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP # Metoda ACK (nmap -sA) 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "FIN scan: " 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP # Skanowanie FIN (nmap -sF) 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: " 
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP # Metoda Xmas Tree (nmap -sX)
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "Null scan: " 
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP # Skanowanie Null (nmap -sN) 
iptables -N syn-flood 
iptables -A INPUT -p tcp --syn -j syn-flood 
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN 
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-prefix "SYN-flood: " 
iptables -A syn-flood -j DROP 


Jest to serwer dedykowany kimsufi z systemem Debian 6, używam go do serwera TeamSpeak i strony.
Może zrobiłem jakiś błąd proszę o pomoc.
ODPOWIEDZ