Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Iptables - zabezpieczenia serwera przed ping

https://www.debian.pl/viewtopic.php?t=21091

Strona 2 z 2

: 01 grudnia 2010, 10:42
autor: turox
Zablokuje wszystkie, ale nie pisałeś że chodzi ci tylko o te z zewnątrz. :)

: 01 grudnia 2010, 12:10
autor: snejk
Dlatego zrób tak jak Ci napisałem. Blokuje to pingowanie po stronie WAN.

: 01 grudnia 2010, 12:33
autor: grzesiek1925
snejk pisze:Dlatego zrób tak jak Ci napisałem. Blokuje to pingowanie po stronie WAN.
Mam użyć

Kod: Zaznacz cały

iptables -A INPUT -i wan_eth -p tcp -dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -i interfejs_wan -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -i wan_eth -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable
Żeby zablokować ataki z zewnątrz? Wystarczy to? Czy jeszcze jakieś?

: 01 grudnia 2010, 13:46
autor: snejk

Kod: Zaznacz cały

iptables -P INPUT DROP
To jest domyślna polityka łańcucha INPUT. Ustawiasz ją na DROP, dzięki czemu nic z zewnątrz nie dostanie sie do Twojego komputera (także pakiety icmp).

Kod: Zaznacz cały

iptables -A INPUT -i interfejs_wan -m state --state RELATED,ESTABLISHED -j ACCEPT
Dzięki tej regułce pozwalasz na ruch powrotny pakietów połączenia ustanowionego przez Ciebie lub z nim powiązanego.

Kod: Zaznacz cały

iptables -I INPUT -i wan_eth -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable
To samo w sobie nie blokuje przychodzących żądań echa ale odpowiada na takowe pakietem icmp-host-unreachable. Nie jest to konieczne ale może zmylić to osobę pingującą, że taki host nie istnieje. I to na dobry początek powinno wystarczyć. Oczywiście musisz sam dodać regułki które odblokują Ci ruch po stronie LAN (jeżeli masz takowy), oraz usługi na serwerze. Poniższy przykład otwiera port 22 (ssh) na świat:

Kod: Zaznacz cały

iptables -A INPUT -i wan_eth -p tcp -dport 22 -m state --state NEW -j ACCEPT
Znasz chociaż trochę możliwości iptables? Chyba nie, bo domyśliłbyś się, że

Kod: Zaznacz cały

-p tcp -dport 22
nie ma nic wspólnego z blokowaniem echa :p
Poczytaj, w sieci jest dużo materiałów na temat iptables

: 01 grudnia 2010, 17:42
autor: grzesiek1925
-P nie mogę dać, gdyż jest to serwer i jak dam to nie dostanę się do niego :p
A limity pomogą coś czy tylko zapchają później się?

: 03 grudnia 2010, 14:27
autor: Cyphermen
To odblokuj sobie port 22 i wtedy się dostaniesz do niego, a później wydaj polecenie:

Kod: Zaznacz cały

-P DROP
Limity rozumiem aktywności z jednego ip na jakiś okres czasu tak, to nie zapchają się i też można ustawić tylko po co skoro łatwiej jest po prostu zablokować icmp.

: 05 grudnia 2010, 10:14
autor: Bastian
grzesiek1925: dlaczego nie skorzystasz z tej serii ?
Strefa czasowa UTC+02:00
Strona 2 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl