Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Konfiguracja iptables

https://www.debian.pl/viewtopic.php?t=31779

Strona 1 z 1

Konfiguracja iptables

: 06 grudnia 2014, 19:20
autor: JKm
Zamierzam reinstalować serwer debiana, a po reinstalacji skonfigurować iptables, tak aby się zabezpieczyć przed wszelkimi złymi ludźmi, ddosami itd. Będą tworzone konta dla paru ludzi - jest to serwer atmana, gdzie stoi parę serwerów gier. Logowanie będzie wymagało klucz RSA - wygeneruję je dla tych użytkowników i im wyślę. Co do iptables, mam prośbę abyście swoim fachowym okiem sprawdzili, czy dobrze jest to napisane. Będę używał dwóch skryptów. Jeden taki ogólny, a drugi bardziej pod obronę przed ddos. Poniżej wysyłam obydwa skrypty i czekam na opinię.


[TABLE="align: center"]
[TR]
[TD][/TD]
[/TR]
[TR]
[TD="class: code"]http://pastebin.com/Pn798sUj
[/TD]
[/TR]
[/TABLE]



Skrypt znaleziony w internecie.
[TABLE="align: center"]
[TR]
[TD]
[/TD]
[/TR]
[TR]
[TD="class: code"]http://pastebin.com/HaseHFDM
[/TD]
[/TR]
[/TABLE]

: 10 grudnia 2014, 21:20
autor: xmaster
Rozumiem, że wklejenie tego jest niemożliwe?
Użyj znaczników CODE

: 11 grudnia 2014, 21:42
autor: Yampress
Wklej cytowany tekst w tagach Code lub quote.


Widzę używasz firewalla uniwersalnego... Rzeczywiście tyle usług masz uruchomionych na serwerze?
Z takim podejściem można sobie trochę krzywdy zrobić.
Taki firewall jeszcze sobie trzeba dostosować pod siebie.


2 skryptów nie uruchomisz na raz. Jeden czyści reguły drugiego
:D

Czas chyba pouczyć się o firewallach i z tych dwóch złożyć jednego lub stworzyć coś swojego nowego, bo daleko nie zajdziesz.

: 17 grudnia 2014, 17:51
autor: grzesiek
Przejrzałem ten (pierwszy) skrypt pobieżnie i jest tam parę błędów, np:
- SSH z 22/udp nie korzysta z tego co wiem, demon sshd słucha u Ciebie na tym porcie?
- te ostatnie reguły, gdzie zabezpieczasz się przed klasami wew itp. - tam masz błąd logiczny - pomijając jaki jest tego sens. Np. jedna z reguł mówi że nie możesz wejść z adresu 10.0.0.0/8 przez eth0 - nie prawda, bo wcześniej masz wszyscy "-p tcp -s 0/0" tzn zewsząd mogą np. na port 22 :) Jak już to te ostatnie linijki powinny być na samym początku.
- DNS po 53/tcp też nie chodzi, no chyba że używasz synchronizacji własnych serwerów.

Jest tego jeszcze trochę, np masz takie super zabezpieczenie:

Kod: Zaznacz cały

$IPTABLES -A INPUT -s $KOMP -j ACCEPT
i co one daje jak wyżej mówisz, że każdy "-s 0/0" może :)
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl