OVH Community, your new community space.

Firewall iptables - Ocena/Poprawki


desavil
05-09-2012, 14:03
Dzięki za zainteresowanie tematem

Różne usługi pod serwery gier, streaming itp.
Jeżeli chodzi o to co pisałem wcześniej, że stary RTMP nie działają - firewall blokuje, to wszystko działa poprawnie, po prostu trzeba było odczekać kilka minut.

Dodam jeszcze, że zastanawiam się czy dodać i jakie ewentualnie zmiany do kernela typu (obecnie ich nie stosuję):
Kod:
# ochrona przed atakiem typu Smurf
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# wlaczamy ochrone przed blednymi pakietami ICMP error
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

#Blokada przed atakami typu SYN FLOODING
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

czyrak7
04-09-2012, 10:46
Na pierwszy rzut oka wszystko jest ok, ale jeszcze Ci wieczorem napiszę na 100% czy wszystko jest bo teraz siedzę w pracy i tylko na chwilę tutaj zajrzałem. Btw do czego Ci ten firewall ?

desavil
22-08-2012, 18:37
Witajcie,
Chciałbym poprosić o ocenę mojego firewalla na iptables oraz o jego ewentualne poprawki.

Kod:
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j LOG --log-prefix "Firewall-Ping: "
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -A INPUT -p tcp --dport 20000:20010 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # ssh inny port i tak
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p icmp --source IP-DEDYKA.251 -j ACCEPT # OVH RTM zgodnie z http://pomoc.ovh.pl/Firewall, ale coś chyba nie działa bo nie wczytuje wykresów.

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "Firewall-ACK scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "Firewall-FIN scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Firewall-Xmas scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "Firewall-Null scan: "
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP

iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-prefix "Firewall-SYN-flood: "
iptables -A syn-flood -j DROP
Za odpowiedzi dziękuję, pozdrawiam.