Existe uma configuração padrão iptables recomendada?

6

Eu tenho usado o servidor Ubuntu por um tempo, no entanto, eu nunca investi tempo no iptables. Eu queria saber se havia uma maneira recomendada para configurar o iptables em um servidor básico intall. Um boilerplate do iptables essencialmente.

Além disso, uma explicação de todas as portas do servidor ubuntu mais usadas seria muito útil.

    
por Mr Axilus 24.01.2012 / 18:31

3 respostas

7

É fantástico que você esteja interessado no iptables.

Como você pode ver, no entanto, há uma curva de aprendizado.

O básico é

Todos os serviços escutam nas portas. Uma analogia seria um complexo de apartamentos, suas portas são análogas ao número de apartamentos.

Portas comuns são

FTP - 21

SSH - 22

Apache - HTTP 80; HTTPS 443

Você pode obter uma lista completa de portas de uma pesquisa do Google ou de / etc / services

Isso pode ajudar também

link

De lá, insira iptables. Como firewall, o iptables é uma maneira de limitar o acesso.

Basicamente você tem 3 opções amplas.

  1. Servidores públicos, ou seja, o apache. Aqui, você permitirá todo o tráfego e a lista negra de IP de mau desempenho (spammers)

  2. Servidores privados, ou seja, ssh. Aqui você negará todas as conexões autorizadas de tráfego e listas brancas.

  3. Limite. Você pode permitir ping, mas apenas a uma determinada taxa.

Se você é novo no iptables, você pode querer começar com o ufw. O ufw é um front end de linha de comando para o iptables e é mais fácil de aprender. A sintaxe é muito parecida com o iptables, então é fácil fazer a transição de ufw para iptables.

Veja:

link

link

Essa informação deve começar. Se você tiver um problema, sinta-se à vontade para fazer uma pergunta mais específica.

Eu também tenho uma página introdutória ao iptables se você quiser. Eu tenho mantido isso ao longo dos anos com o feedback de pessoas novas no iptables, espero que ajude.

link

    
por Panther 24.01.2012 / 20:06
4

A maneira recomendada (para iniciantes) é habilitar o ufw que, por sua vez, configura automaticamente as regras básicas de iptables para você:

sudo ufw enable

Basicamente, isso bloqueará todos os pacotes não solicitados (para a lista completa de regras configuradas dessa forma, consulte sudo iptables -L ).

Para poder se conectar ao servidor, você terá que permitir algumas portas, por exemplo

sudo ufw allow 22/tcp

para permitir ssh etc.

    
por arrange 24.01.2012 / 22:17
3

Eu recomendo que você também adicione proteção contra alguns tipos de varredura e configurações tcp incomuns (possivelmente maliciosas):


-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE  -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -m state --state INVALID -j DROP

(Via hideandhack.com .)

    
por sigxcpu 16.11.2012 / 15:18