Вопросы Теги

Есть ли рекомендуемые настройки iptables по умолчанию?

Я уже давно пользуюсь сервером Ubuntu, однако никогда не тратил время на iptables. Мне было интересно, если есть рекомендуемый способ настройки iptables на базовом сервере intall. Шаблон Iptables по существу.

Также было бы очень полезно объяснить все наиболее часто используемые порты сервера Ubuntu.

7
задан 24 January 2012 в 21:31

3 ответа

Рекомендованным способом (для начинающих) является включение ufw, который, в свою очередь, автоматически устанавливает для вас основные iptables правила: 

sudo ufw enable

В основном это блокирует все нежелательные пакеты (для полного списка правила, которые установлены таким образом, см. sudo iptables -L).

Чтобы иметь возможность подключиться к серверу, вам потребуется разрешить несколько портов, например 

sudo ufw allow 22/tcp

, чтобы разрешить ssh и т. Д.

0
ответ дан 24 January 2012 в 21:31

Рекомендую также добавить защиту от некоторых типов сканирования и необычных (возможно, вредоносных) настроек tcp: 


-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE  -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -m state --state INVALID -j DROP

(через hideandhack.com . )

0
ответ дан 24 January 2012 в 21:31

Это потрясающе, что вы заинтересованы в iptables.

Как вы можете видеть, однако, есть некоторая кривая обучения.

Основы:

Все службы прослушивают порты. Одной из аналогий будет жилой комплекс, ваши порты аналогичны номерам квартир.

Общими портами являются

FTP - 21

SSH - 22

Apache - HTTP 80; HTTPS 443

Вы можете получить полный список портов из поиска Google или / etc / services

Это также может помочь

https: // help .ubuntu.com / 10.04 / serverguide / C / index.html

Оттуда введите iptables. Как брандмауэр, iptables является одним из способов ограничения доступа.

Обычно у вас есть 3 широких варианта.

  1. Публичные серверы, то есть apache. Здесь вы разрешите весь трафик и черный список плохих действующих IP (спамеров)

  2. Частные серверы, т.е. ssh. Здесь вы запретите весь трафик и белый список авторизованных соединений.

  3. [+1123] Предел. Вы можете разрешить пинг, но только с определенной скоростью.

Если вы новичок в iptables, вы можете начать с UFW. UFW является интерфейсом командной строки для iptables и его легче освоить. Синтаксис очень похож на iptables, поэтому его легко перейти с ufw на iptables.

См .:

https://help.ubuntu.com/community/UFW

https://help.ubuntu.com/community / IptablesHowTo

Эта информация должна помочь вам начать. Если у вас есть проблема, не стесняйтесь задавать более конкретный вопрос.

У меня также есть вводная страница для iptables, если хотите. В течение многих лет я поддерживал это мнение с помощью людей, плохо знакомых с iptables, надеюсь, это поможет.

http://bodhizazen.com/Tutorials/iptables

0
ответ дан 24 January 2012 в 21:31

Другие вопросы по тегам:

Похожие вопросы: