Модераторы: powerfox, ZeeLax
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> покритикуйте правила iptables 
:(
    Опции темы
student80
Дата 23.4.2009, 16:02 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
Поднимаю прокси сервер.
SQUID еще не поставил, настраиваю пока iptables
Поскольку комп одной сетевухой смотрит в интернет, его нужно надежно защитить.
Вот правила iptables, которые я написал.
Код

#!/bin/sh

LAN_DEV="eth0"
LAN_IP="192.168.0.10"
LAN_NET="192.168.0.0/23"
WAN_DEV="eth1"
WAN_IP="хх.хх.хх.хх" #IP внешний еще не известен
IPT="/sbin/iptables"
grayA="10.0.0.0/8"
grayB="172.16.0.0/12"
grayC="192.168.0.0/16"

#flush rules
$IPT -t mangle -F
$IPT -t filter -F
$IPT -t nat -F

#default action
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

#drop and reject bad tcp packets
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

#eth must accept only IPs from assigned net
$IPT -A INPUT -p tcp -i $LAN_DEV -s ! $LAN_NET -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $LAN_DEV -s ! $LAN_NET -j DROP
$IPT -A INPUT -p tcp -i $WAN_DEV -s $grayA -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $WAN_DEV -s $grayA -j DROP
$IPT -A INPUT -p tcp -i $WAN_DEV -s $grayB -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $WAN_DEV -s $grayB -j DROP
$IPT -A INPUT -p tcp -i $WAN_DEV -s $grayC -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $WAN_DEV -s $grayC -j DROP
$IPT -A FORWARD -p tcp -i $LAN_DEV -s ! $LAN_NET -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $LAN_DEV -s ! $LAN_NET -j DROP
$IPT -A FORWARD -p tcp -i $WAN_DEV -s $grayA -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $WAN_DEV -s $grayA -j DROP
$IPT -A FORWARD -p tcp -i $WAN_DEV -s $grayB -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $WAN_DEV -s $grayB -j DROP
$IPT -A FORWARD -p tcp -i $WAN_DEV -s $grayC -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $WAN_DEV -s $grayC -j DROP

#accept packets only for my IPs
$IPT -A INPUT -p tcp -i $LAN_DEV -d ! $LAN_IP -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $LAN_DEV -d ! $LAN_IP -j DROP
$IPT -A INPUT -p tcp -i $WAN_DEV -d ! $WAN_IP -j REJECT --reject-with tcp-reset
$IPT -A INPUT -i $WAN_DEV -d ! $WAN_IP -j DROP

#forward for right nets
$IPT -A FORWARD -p tcp -i $LAN_DEV -d $grayA -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $LAN_DEV -d $grayA -j DROP
$IPT -A FORWARD -p tcp -i $LAN_DEV -d $grayB -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $LAN_DEV -d $grayB -j DROP
$IPT -A FORWARD -p tcp -i $LAN_DEV -d $grayC -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $LAN_DEV -d $grayC -j DROP
$IPT -A FORWARD -p tcp -i $WAN_DEV -j REJECT --reject-with tcp-reset
$IPT -A FORWARD -i $WAN_DEV -j DROP

#accept established and related connections
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Вот требования к правилам.
1. правила, разрешающие подключение к определенным портам, буду постепенно заносить, поэтому здесь их нет.
2. исходящие пакеты по умолчанию разрешены (правильно ли?)
3. не пропускать неправильные и плохие пакеты (собственно все правила, которые я здесь написал). всё ли учел? еще может какие критерии посоветуете для неправильных пакетов?
4. входящие и транзитные пакеты не пропускать (кроме указанных позже правил типа доступ к сквиду, ssh итд)
5. на разрешенных правилах пропускать только правильные пакеты (чтобы защититься от всяких видов атак)
Покритикуйте, пожалуйста, мои правила. Может что добавить/удалить нужно?
PM MAIL   Вверх
student80
Дата 27.4.2009, 10:32 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
ни у кого разве никаких мыслей нет? 
PM MAIL   Вверх
Imple
Дата 28.4.2009, 20:43 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
Критиковать правила iptables может только специалист по сетевой безопасности вызвав на ковер сетевого администратора. К сожалению, в вашей компании мы не первым, не вторым не являемся.


--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Администрирование"
ZeeLax
Imple
nerezus
 Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.

  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.

Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Администрирование *NIX систем | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.1130 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.