jak zabezpieczyć vpsa z biznes-host za pomocą iptables?

[Davidson 0]

witam, przychodzę do was z pytaniem. jakimi poleceniami iptables mogę najlepiej zabezpieczyć vpsa openvz od firmy biznes-host.pl

 

dostępne moduły iptables:

icmp
length
ttl
tcpmss
multiport
multiport
limit
tos
recent
owner
udp
tcp

 

dodam że próbowałem dostępnych już w sieci i prawie w każdych występuje jakiś błąd.

 

proszę tylko o gotowe komendy co wkleić ponieważ w temacie linuxa, iptables nie orientuje się.

 

Pozdrawiam.

[t4t4v4 3]

Skoro się nie orientujesz to zatrudnij administratora.

Nie powiedziałeś nawet co to za błędy..

 

 

[Pan Kot 1535]

@Avatat

Nie używaj zbyt często Pana Macieja bo stanie się mainstreamowy .

 

@topic

Jak się nie znasz to proponuję pierw się dowiedzieć, nie ma nic gorszego niż wklepywanie komend bez ich zrozumienia, do tego można sobie jeszcze narobić więcej szkód niż pożytku.

 

Ja już dawno wyniosłem się z czystych iptables na coś o wiele bardziej zaawansowanego, a mianowicie CSF, ale sądzę że na VPS'ie działać Ci nie będzie, często brakuje niektórych modułów. Jak dobrze poszukasz to znajdujesz mój dość dobry temat o security, w którym jest dość duże kompendium wiedzy o CSF i o tym jakich modułów ew. może brakować.

 

Z czasów kiedy jeszcze używałem czystych iptables to miałem takie regułki:

 

# Security
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -f -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
#iptables -A INPUT -m state --state INVALID -j DROP

Ty jednak prawdopodobnie będziesz bardziej zainteresowany czymś tak podstawowym jak blokowanie portów.

 

 

# conntrack/state wymagany
#iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP

PTCP=ssh,http,https,10011,30033
iptables -A INPUT -p tcp -m multiport --dports $PTCP -j ACCEPT

Edytowano Marzec 11, 2013 przez Archi (zobacz historię edycji)

[Davidson 0]

Tak na poważnie, mam to wklepać ?

 

Ps. w pewnej części zastosowałem się do twojego poradnika o sercuity.

[rtgn 0]

Cześć,

Jeśli nie znasz dokładnie składni iptables, zawsze możesz skorzystać z webowych generatorów.

http://www.mista.nu/iptables/

Jednak po wyklikaniu polecam upewnić się, czy te komendy będą satysfakcjonujące dla Ciebie

[Pan Kot 1535]

Tak na poważnie, mam to wklepać ?

 

Ps. w pewnej części zastosowałem się do twojego poradnika o sercuity.

 

Tak na poważnie to sprawdź jaka komenda co dokładnie robi, a potem przeanalizuj których chcesz użyć, nie bez powodu zakomentowałem niektóre linijki, w końcu VPS VPS'owi nierówny.