Есть ли рекомендуемая установка iptables по умолчанию?
Я использовал сервер ubuntu некоторое время, однако я никогда не инвестировал время в iptables. Мне было интересно, был ли рекомендованный способ установки iptables на базовом сервере intall. Оболочка iptables по существу.
Также было бы полезно пояснить все наиболее часто используемые порты сервера ubuntu.
3 ответа
Замечательно, что вас интересует iptables.
Как вы можете видеть, однако, есть немного кривой обучения.
Основами являются
Все службы прослушивают порты.
Общие порты:
FTP - 21
SSH - 22
Apache - HTTP 80; HTTPS 443
Вы можете получить полный список портов из поиска google или / etc / services
Это также может помочь
https: // help .ubuntu.com / 10.04 / serverguide / C / index.html
Оттуда введите iptables. В качестве брандмауэра iptables является одним из способов ограничения доступа.
В основном у вас есть 3 широких параметра.
Публичные серверы, то есть apache. Здесь вы разрешаете весь трафик и черный список вредоносных IP-адресов (спамеров). Частные серверы, то есть ssh. Здесь вы откажетесь от всех разрешенных соединений трафика и белого списка. Ограничить. Вы можете разрешить пинг, но только с определенной скоростью.Если вы новичок в iptables, вы можете начать с ufw. ufw - это интерфейс командной строки для iptables и его легче освоить. Синтаксис очень похож на iptables, поэтому легко перейти от ufw к iptables.
См.:
https://help.ubuntu.com/10.04/serverguide /C/index.html
https://help.ubuntu.com/community/IptablesHowTo
Эта информация должна вас начать. Если у вас есть проблема, не стесняйтесь задавать более конкретный вопрос.
У меня также есть вводная страница для iptables, если хотите. Я поддерживал его на протяжении многих лет с отзывами людей, новых для iptables, надеюсь, что это поможет.
-
1[F1]? Вы имеете в виду /etc/services? – arrange 25 January 2012 в 03:18
-
2Извини за это. – Panther 25 January 2012 в 03:46
-
3не нужно сожалеть :) Ваши посты, блог и другие ресурсы всегда были большой помощью для меня. Спасибо за все это. – arrange 25 January 2012 в 16:38
-
4Хм, есть ли недостаток в использовании ufw для базовой настройки? – Mr Axilus 25 January 2012 в 18:45
-
5Единственными минусами, которые я могу придумать, были бы личные предпочтения, некоторые люди могут предпочесть альтернативные инструменты (альтернативные графические инструменты, iptables) или предпочтительные варианты (DROP vs REJECT). Другой "недостаток" что если вы хотите запустить службу (ssh, samba, nfs, VNC), вам необходимо будет открыть порт в вашем брандмауэре. – Panther 25 January 2012 в 22:07
Рекомендуемый способ (для новичков) - включить ufw, который, в свою очередь, автоматически устанавливает для вас основные правила iptables:
sudo ufw enable
В основном это блокирует все незатребованные пакеты (для полного списка правил, которые настроены таким образом, см. sudo iptables -L).
Чтобы иметь возможность подключаться к серверу, вам нужно будет разрешить несколько портов, например
sudo ufw allow 22/tcp
Я рекомендую вам также добавить защиту от некоторых типов сканирования и необычных (возможно, вредоносных) настроек tcp:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -m state --state INVALID -j DROP
(через hideandhack.com.) [!d2 ]