Linux.pl »

Baza sprzętu »
Rozdajemy Linuksa »
Poczta Linux.pl »
Hosting Linux.pl »

Nowe posty

xx Problem ze sterownikami. (5)
2024-04-13, 21:25:16
xx Instalacja xfce4 (2)
2024-04-13, 16:20:17
xx Serie kompilacji bez instalacji dla “emerge” w Gentoo (2)
2024-04-08, 18:40:04
xx Plasma 6 w Neonie ssie trochę mniej ... (17)
2024-04-05, 10:03:46
xx Problem z Linux Lite po instalacji (3)
2024-04-03, 14:23:40
xx Jak właczyć num locka przy starcie systemu debian 12? (12)
2024-04-02, 17:43:54
xx Brak dźwieku w systemie. (5)
2024-04-02, 16:13:41
xx Dystrybucja pod HP Omen (7)
2024-03-29, 11:33:05
xx [Poradnik] Wyszukiwanie Sterowników (2)
2024-03-27, 21:08:23
xx Ile pingwinów? (1)
2024-03-27, 08:59:24
« poprzedni następny »
Strony: [1]   Do dołu

Autor Wątek: Serwer. Podstawowa zapora.  (Przeczytany 2703 razy)

kemsai

  • Gość
Serwer. Podstawowa zapora.
« dnia: 2013-12-13, 17:48:22 »
Witam.
Chciałym się dowiedzieć jakie reguł powinna mieć podstawowa zapora na serwerze na którym korzysta z się paru portów?

Jak rozumiem porty to porty ftp i takie tam dla mnie + te od usług.
Co jeszcze warto filtrować?
Zapisane

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2056
    • Zobacz profil
Serwer. Podstawowa zapora.
« Odpowiedź #1 dnia: 2013-12-14, 10:28:57 »
Serwer możesz całkowicie odciąć od internetu, tj. blokować caly ruch przychodzący, a zezwalać jedynie na wybranych portach, np. tak.

Kod: [Zaznacz]
#!/bin/sh

# Czyszczenie reguł

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Polityka bezpieczeństwa

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Reguły pętli zwrotnej

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Reguły zapory

iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp  --sport 20:21 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ruch z połączeń już nawiązanych
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # j.w.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # inicjowanie nowych połączeń wychodzących
Jeśli nie masz fizycznego dostępu do serwera lub dostępu do panelu z konsolą awaryjną, nie zapomnij dodać sobie jeszcze reguł zezwalających na łączenie się przez ssh, bo zablokujesz sobie całkowicie dostęp do serwera. Z regułą dla ssh wygladać to będzie tak.

Kod: [Zaznacz]
#!/bin/sh

# Czyszczenie reguł

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# Polityka bezpieczeństwa

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Reguły pętli zwrotnej

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Reguły zapory

iptables -A INPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp  --sport 20:21 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # ruch z połączeń już nawiązanych
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # j.w.
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # inicjowanie nowych połączeń wychodzących
Jeśli FTP działa w trybie pasywnym, możesz skorzystać jeszcze z modułu śledzącego porty używane przez FTP przy użyciu  ip_conntract_ftp.
Zapisane
Strony: [1]   Do góry
« poprzedni następny »