Memcrab beállítani iptables, hogy megvédje a web-szerver alapú Debian és Ubuntu
1. Először is, tisztítja a meglévő szabályok a táblázat:
-A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
De lehetővé teszi az SSH az elején, akkor nem írhat elő szabályokat SSH annak védelmére a brute force (Bruteforce). Miért? mert az iptables szabályok következetes alkalmazását! És az összes többi korlát általunk kiszabott 22-es port alatt a jelenlegi szabályok volna az erejüket.
Tehát az első, a védelem a SSH hozzáférést később, majd a többi konfiguráció.
2.1 magas színvonalú védelmet brute force, akkor használja a kiegészítő modul, hogy lehet telepíteni és konfigurálni:
# Aptitude install module-assistant xtables-addons-forrás
# Module-asszisztens előkészíti
# Module-asszisztens automatikus telepítési xtables-addons-forrás
# DEPMOD -a
2.2 A sikeres további telepítést. modulok bevezetésére szabályok védik SSH:
# Iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -m elmúlt --update --seconds 20 -j TARPIT
# Iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -m elmúlt --set -j ACCEPT
# Iptables -A INPUT -p TCP -m TCP --dport 22 -m state --state ÚJ -m hashlimit --hashlimit 1 / óra --hashlimit-tört 2 --hashlimit-módban srcip --hashlimit-név SSH - -hashlimit-htable-lejár 60000 -j ACCEPT
# Iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN, RST, ACK SYN -j DROP
2.3 Most, hogy védelmet, akkor nyissa meg az SSH:
# Iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
3. Ha végzett, hogy ne veszítsük el hozzáférési nyilvántartásba vesszük az alapértelmezett politika:
# Iptables -P INPUT DROP
# Iptables -P FORWARD ACCEPT
# Iptables -P OUTPUT ACCEPT
Így a lánc a DROP, vágjuk az összes belépő vegyület, más szóval fogjuk beállítani politikai elve alapján - tilos minden, ami nem kifejezetten megengedett.
ELŐRE és OUTPUT politika hagyok nyitva, ahogy véleményem vannak kevésbé veszélyes, a biztonság szempontjából. bár senki sem zavar, hogy vágja őket. Ja, és ne felejtsük el, ha azt szeretnénk, minden politikus, hogy a DROP lánc, majd adjunk hozzá egy olyan szabályt, hogy a bejövő kapcsolat az ssh egy olyan szabály, amely lehetővé teszi a kimenő forgalmat porton 22 vagy elveszíti a távoli hozzáférést. (Iptables -A OUTPUT -p tcp -i eth0 -dport 22 -j ACCEPT)
4. Most folytassa előíró alapvető szabályokat a webszerverek.
- Hagyjuk a forgalom áramlásának localhost:
# Iptables -A INPUT -i lo -j ACCEPT
- Így a védelem DoS támadásokkal szemben:
Elleni védelem SYN-flood:
# Iptables -A INPUT -p tcp --syn -m limit --limit 1 / s -j ACCEPT
# Iptables -A INPUT -p tcp --syn -j DROP
Elleni védelem kapupásztázót:
# Iptables -A INPUT -p tcp --tcp-flags SYN, ACK, FIN, RST RST -m limit --limit 1 / s -j ACCEPT
# Iptables -A INPUT -p tcp --tcp-flags SYN, ACK, FIN, RST RST -j DROP
Elleni védelem Ping halál:
# Iptables -A INPUT -p icmp --icmp típusú echo-request -m limit --limit 1 / s -j ACCEPT
# Iptables -A INPUT -p icmp --icmp típusú echo-request -j DROP
- Hogy a forgalom az alapvető szolgáltatásokhoz
# Iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
# Iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
# Iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
# Iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
# Iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
# Iptables -A INPUT -i eth0 -p icmp -m ICMP --icmp 3-as típusú -j ACCEPT
# Iptables -A INPUT -i eth0 -p icmp -m ICMP --icmp típusú 11 -j ACCEPT
# Iptables -A INPUT -i eth0 -p icmp -m ICMP --icmp-12-es típusú -j ACCEPT
Szóval, amit én engedélyezve:
Port 21 - ftp
port 80 - http
443-as port - https
port 25 - smtp
Port 53 - dns
És plusz a szükséges típusú ICMP. Csak ne felejtsük el. hogy a nyílt ssh port 22.
5. Állítsa be szabványos kimenő és bejövő hullámok
# Iptables -A INPUT -m state --state KAPCSOLÓDÓ, LÉTRE -j ACCEPT
# Iptables -A OUTPUT -m state --state KAPCSOLÓDÓ, LÉTRE -j ACCEPT
6. Mentse az új szabályok és felírni őket egy fájlba konfiguráció, nehogy dörzsölni újraindítás után.
# Iptables-save
# Iptables-save> /etc/iptables.conf
Az aktuális szűrő táblázat a következők lehetnek:
7. Az automatikus felvétel és helyreállítási szabályok
adjuk hozzá a következő sorokat a végén a felületek file:
pre-up iptables-restore, post-down iptables-save> /etc/iptables.conf
Most, amikor letilt egy szabály gépek maguk mentésre kerül, de ha viszont - a regenerálódásra.
* Lomtalanítás bizonyos szabályokat.
A következő paranccsal látni a helyes számot, amit itt el kell távolítani:
# Iptables -L INPUT --line-szám
Megjegyzés számát és törölje a szabály száma 2
# Iptables -D INPUT 2