Я уже давно пользуюсь сервером Ubuntu, однако никогда не тратил время на iptables. Мне было интересно, если есть рекомендуемый способ настройки iptables на базовом сервере intall. Шаблон Iptables по существу.
Также было бы очень полезно объяснить все наиболее часто используемые порты сервера Ubuntu.
Рекомендованным способом (для начинающих) является включение ufw, который, в свою очередь, автоматически устанавливает для вас основные iptables
правила:
sudo ufw enable
В основном это блокирует все нежелательные пакеты (для полного списка правила, которые установлены таким образом, см. sudo iptables -L
).
Чтобы иметь возможность подключиться к серверу, вам потребуется разрешить несколько портов, например
sudo ufw allow 22/tcp
, чтобы разрешить ssh
и т. Д.
Рекомендую также добавить защиту от некоторых типов сканирования и необычных (возможно, вредоносных) настроек tcp:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -m state --state INVALID -j DROP
(через hideandhack.com . )
Это потрясающе, что вы заинтересованы в iptables.
Как вы можете видеть, однако, есть некоторая кривая обучения.
Основы:
Все службы прослушивают порты. Одной из аналогий будет жилой комплекс, ваши порты аналогичны номерам квартир.
Общими портами являются
FTP - 21
SSH - 22
Apache - HTTP 80; HTTPS 443
Вы можете получить полный список портов из поиска Google или / etc / services
Это также может помочь
https: // help .ubuntu.com / 10.04 / serverguide / C / index.html
Оттуда введите iptables. Как брандмауэр, iptables является одним из способов ограничения доступа.
Обычно у вас есть 3 широких варианта.
Публичные серверы, то есть apache. Здесь вы разрешите весь трафик и черный список плохих действующих IP (спамеров)
Частные серверы, т.е. ssh. Здесь вы запретите весь трафик и белый список авторизованных соединений.
Если вы новичок в iptables, вы можете начать с UFW. UFW является интерфейсом командной строки для iptables и его легче освоить. Синтаксис очень похож на iptables, поэтому его легко перейти с ufw на iptables.
См .:
https://help.ubuntu.com/community/UFW
https://help.ubuntu.com/community / IptablesHowTo
Эта информация должна помочь вам начать. Если у вас есть проблема, не стесняйтесь задавать более конкретный вопрос.
У меня также есть вводная страница для iptables, если хотите. В течение многих лет я поддерживал это мнение с помощью людей, плохо знакомых с iptables, надеюсь, это поможет.