Iptables - zabezpieczenia serwera przed ping

Masz problemy z siecią bądź internetem? Zapytaj tu
ODPOWIEDZ
Awatar użytkownika
turox
Posty: 49
Rejestracja: 19 września 2010, 15:40
Lokalizacja: Tychy

Post autor: turox »

Zablokuje wszystkie, ale nie pisałeś że chodzi ci tylko o te z zewnątrz. :)
Na górę
snejk
Posty: 78
Rejestracja: 03 sierpnia 2010, 00:33
Lokalizacja: /dev/random

Post autor: snejk »

Dlatego zrób tak jak Ci napisałem. Blokuje to pingowanie po stronie WAN.
Na górę
grzesiek1925
Posty: 22
Rejestracja: 13 listopada 2010, 18:16

Post autor: grzesiek1925 »

snejk pisze:Dlatego zrób tak jak Ci napisałem. Blokuje to pingowanie po stronie WAN.
Mam użyć

Kod: Zaznacz cały

iptables -A INPUT -i wan_eth -p tcp -dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -i interfejs_wan -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -i wan_eth -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable
Żeby zablokować ataki z zewnątrz? Wystarczy to? Czy jeszcze jakieś?
Na górę
snejk
Posty: 78
Rejestracja: 03 sierpnia 2010, 00:33
Lokalizacja: /dev/random

Post autor: snejk »

Kod: Zaznacz cały

iptables -P INPUT DROP
To jest domyślna polityka łańcucha INPUT. Ustawiasz ją na DROP, dzięki czemu nic z zewnątrz nie dostanie sie do Twojego komputera (także pakiety icmp).

Kod: Zaznacz cały

iptables -A INPUT -i interfejs_wan -m state --state RELATED,ESTABLISHED -j ACCEPT
Dzięki tej regułce pozwalasz na ruch powrotny pakietów połączenia ustanowionego przez Ciebie lub z nim powiązanego.

Kod: Zaznacz cały

iptables -I INPUT -i wan_eth -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable
To samo w sobie nie blokuje przychodzących żądań echa ale odpowiada na takowe pakietem icmp-host-unreachable. Nie jest to konieczne ale może zmylić to osobę pingującą, że taki host nie istnieje. I to na dobry początek powinno wystarczyć. Oczywiście musisz sam dodać regułki które odblokują Ci ruch po stronie LAN (jeżeli masz takowy), oraz usługi na serwerze. Poniższy przykład otwiera port 22 (ssh) na świat:

Kod: Zaznacz cały

iptables -A INPUT -i wan_eth -p tcp -dport 22 -m state --state NEW -j ACCEPT
Znasz chociaż trochę możliwości iptables? Chyba nie, bo domyśliłbyś się, że

Kod: Zaznacz cały

-p tcp -dport 22
nie ma nic wspólnego z blokowaniem echa :p
Poczytaj, w sieci jest dużo materiałów na temat iptables
Na górę
grzesiek1925
Posty: 22
Rejestracja: 13 listopada 2010, 18:16

Post autor: grzesiek1925 »

-P nie mogę dać, gdyż jest to serwer i jak dam to nie dostanę się do niego :p
A limity pomogą coś czy tylko zapchają później się?
Na górę
Cyphermen
Beginner
Posty: 426
Rejestracja: 24 maja 2009, 10:56
Lokalizacja: cze-wa

Post autor: Cyphermen »

To odblokuj sobie port 22 i wtedy się dostaniesz do niego, a później wydaj polecenie:

Kod: Zaznacz cały

-P DROP
Limity rozumiem aktywności z jednego ip na jakiś okres czasu tak, to nie zapchają się i też można ustawić tylko po co skoro łatwiej jest po prostu zablokować icmp.
Na górę
Awatar użytkownika
Bastian
Member
Posty: 1424
Rejestracja: 30 marca 2008, 16:09
Lokalizacja: Poznañ

Post autor: Bastian »

grzesiek1925: dlaczego nie skorzystasz z tej serii ?
Na górę
ODPOWIEDZ

Wróć do „Sieci”