Como eu bloqueio todas as conexões exceto vpn e ssh sem colocar em risco o estado dos meus vps?

2

Eu tenho algum espaço vps, mas eu recebo muitas varreduras com base no que vejo no iftop. Eu tentei algumas coisas do iptables, mas é cansativo e inútil colocar todos os ips que eu vejo nos logs. Eu estou querendo saber sobre a melhor maneira de garantir que eu possa obter uma conexão estável com o meu vps, mantendo praticamente tudo desligado até que eu queira ativar via iptables ./

No momento eu tenho o Debian e tenho o Vpn e o Ssh ativos nele. Eu gostaria que as coisas básicas e essenciais + vpn + ssh aceitando conexões de entrada e saída, e o resto pudesse ficar fora do meu quintal da frente.

Basicamente, estou procurando uma lista de comandos que podem funcionar com o Debian. Eu tentei monte de coisas com base no que vi na net. Algumas coisas jogaram erro, algumas me confundiram. De qualquer forma eu era capaz de acoplar coisas como aceitar conexões na vpn. Eu só preciso de uma lista clara, eu acho.

Eu não preciso definir o ip único que é responsável pelas conexões, então os ports fariam isso por mim. Eu posso adicionar os destinos do IP mais tarde eu mesmo.

obrigado

    
por yarun can 24.01.2014 / 04:58

1 resposta

4

Aqui está um tutorial: link

Para resumir:

# Allow packets for existing connections (this is required for replies
# from the internet to connections you initiate from the vps):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Allow connecting to SSH, the established session is handled above:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

# Allow connecting to the VPN server, assuming default OpenVPN w/ TCP:
iptables -A INPUT -p tcp --dport openvpn -j ACCEPT

# Does anybody need to ping you? If you never want to do that:
# iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP
#
# (Almost) All other ICMP is important, don't bother trying to make exceptions:
iptables -A INPUT -p icmp -j ACCEPT

# If you run OpenVPN in UDP mode, want to run traceroute to yourself,
# or use NFS over UDP, accept them here. Remember to explicitly allow replies,
# for services you access.

# Drop everything else. Two ways to do this:
# The common catch-all rule, which makes adding rules later harder
# (need to "-I"nsert instead of "-A"ppend; order matters!):
# iptables -A INPUT -j DROP
#
# Alternatively, set the default policy:
iptables -P INPUT DROP

No entanto, não sei o que você compra. Os pacotes de digitalização entrarão na sua interface de rede de qualquer maneira, então você só salva as respostas de saída "nada que escuta nesta porta" (se alguma coisa estiver ouvindo: se você não precisar, desligue-a e, se precisar, precisará permitir o acesso de qualquer maneira), e com algumas portas abertas, você não vai ficar invisível de qualquer maneira.

Ainda assim, boa sorte. Lembre-se de que é fácil bloquear-se acidentalmente e prosseguir com cuidado.

    
por 30.01.2014 / 21:52