Я новичок в iptables, и я пытался собрать брандмауэр, цель которого - защитить веб-сервер. Приведенные ниже правила - это те, которые я собрал до сих пор, и я хотел бы услышать, имеют ли они смысл - и не упустил ли я что-нибудь существенное?
В дополнение к порту 80 мне также нужно открыть порт 3306 (mysql) и 22 (ssh) для внешних подключений.
Любые отзывы приветствуются!
#!/bin/sh
# Clear all existing rules.
iptables -F
# ACCEPT connections for loopback network connection, 127.0.0.1.
iptables -A INPUT -i lo -j ACCEPT
# ALLOW established traffic
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# DROP packets that are NEW but does not have the SYN but set.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# DROP fragmented packets, as there is no way to tell the source and destination ports of such a packet.
iptables -A INPUT -f -j DROP
# DROP packets with all tcp flags set (XMAS packets).
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# DROP packets with no tcp flags set (NULL packets).
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# ALLOW ssh traffic (and prevent against DoS attacks)
iptables -A INPUT -p tcp --dport ssh -m limit --limit 1/s -j ACCEPT
# ALLOW http traffic (and prevent against DoS attacks)
iptables -A INPUT -p tcp --dport http -m limit --limit 5/s -j ACCEPT
# ALLOW mysql traffic (and prevent against DoS attacks)
iptables -A INPUT -p tcp --dport mysql -m limit --limit 25/s -j ACCEPT
# DROP any other traffic.
iptables -A INPUT -j DROP
Попробуйте Shorewall, который обеспечивает разумный брандмауэр из коробки. Разрешите доступ из сети для нужных вам услуг. Есть примеры наборов правил для одного, двух и трех интерфейсов. Документация хорошая и активно поддерживается.
Я думаю, вы захотите ограничить количество адресов, которые могут получить доступ к MySQL, что легко сделать. Вы также можете защитить SSH с помощью блокировки порта, если порт закрыт, если вы недавно не исследовали другой порт.
ETA: 5. Наличие такого рода ограничений скорости делает DoS-атаки очень простыми. Мне просто нужно отправлять 1 пакет SYN в секунду на ваш сервер, чтобы отказать ВАМ в доступе по ssh.
Я бы подумал об использовании чего-то вроде NARC для настройки ваших правил iptables:
В этом пакете уже есть несколько разумных настроек по умолчанию, которым вы можете доверять.
Я использую Webmin, у него хороший стартовый набор правил.
Фильтр исходящей связи с сервера в Интернет также важен. Особенно рекомендуется разрешить SMTP только для одного сервера.
Я управляю межсетевыми экранами Mikrotik, и я, например, привык:
И еще несколько. Я бы порекомендовал прочитать это: http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling Синтаксис Mikrotik прост и содержит полезные советы для новичков.
Что касается пакета XMAS.
Разные сканеры отправляют разные ароматы XMAS. Ваше правило ALL ALL, хотя оно ДОЛЖНО соответствовать каноническому определению фразы XMAS packet, на самом деле не улавливает их, когда NMAP их отправляет.
nmap -sX, который должен быть сканированием XMAS, не будет обнаружен ВСЕМИ.
ALL ALL соответствует FIN, SYN, RST, PSH, ACK, URG FIN, SYN, RST, PSH, ACK, URG То, что отправляет NMAP, приравнивается к FIN, SYN, RST, PSH, ACK, URG FIN, PSH, URG