iptables permite apenas scanners ssh, VPN e de bloco

0

Eu tenho um VPS debian que eu preciso proteger. Eu gostaria que o servidor tivesse acesso somente através de ssh e openvpn. uma vez conectado, nenhuma restrição será aplicada. Além disso, bloqueie scanners e faça ping para o servidor. Desde que eu estou preso com o conjunto de comandos iptables gostaria de alguma ajuda, por favor. No momento, os iptables são:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1194 -j ACCEPT
iptables -P OUTPUT DROP

uma vez conectado, então poderá navegar na Internet. Também gostaria que o sistema seja capaz de enviar e-mails, solicitações de DNS.

    
por john 28.07.2016 / 09:42

1 resposta

2

A maioria dos seus requisitos é clara, e. g .:

  • o Debian VPS deve poder enviar e-mails
  • o VPS do Debian deve ser capaz de consultar servidores DNS
  • bloqueia scanners do Debian VPS
  • seu computador deve ser capaz de estabelecer sessões SSH para o VPS
  • seu computador deve ser capaz de estabelecer sessões openVPN para o VPS

Não está claro para mim é "uma vez conectado, em seguida, ser capaz de navegar na Internet". Eu tenho uma suposição, no entanto. ;)

enviar e-mails

Dependendo do protocolo que você deseja usar para enviar e-mails, abra a respectiva porta (por exemplo, a porta TCP 25 ou a porta TCP 587; utilizarei 25 no exemplo abaixo):

iptables -I OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT

Em seguida, você precisa permitir o tráfego de entrada de retorno do servidor de e-mail remoto:

iptables -I INPUT -p tcp -m tcp --sport 25 -j ACCEPT

ou melhor:

iptables -I INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 25 -j ACCEPT

(permitindo que todos os tcp retornem tráfego da porta 25 em uma conexão estabelecida pelo seu Debian VPS).

consultas DNS

Isso é muito semelhante ao envio de e-mails:

iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p udp -m state --state ESTABLISHED,RELATED --sport 53 -j ACCEPT

SSH e openVPN

isto é o que você já configurou você mesmo

navegar na Internet

Eu suponho que você quer

  • conecte-se ao Debian VPS via openVPN
  • navegue pela Internet através do Debian VPS
  • para que seu PC em casa apareça como era o Debian VPS (em termos de endereço IP público)

Então você quer

habilita o encaminhamento do kernel no Debian VPS:

$ sudo sysctl -w net.ipv4.ip_forward=1

e adicionalmente

$ sudo nano /etc/sysctl.conf

e verifique se há uma linha descomentada (sem # na frente) que lê

net.ipv4.ip_forward=1

habilita o encaminhamento de iptables

Além disso, você deseja habilitar o encaminhamento no iptables: Suponho que você use openVPN no modo de roteamento usando um dispositivo tun (em oposição ao modo de ponte usando um dispositivo tap e que você usa 10.8.0.0/24 (padrão do openVPN) como intervalo de endereços IP.

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o eth0 -i tun+ -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

bloqueando scanners

Bem, os scanners geralmente olham para portas usadas com frequência, como 80, 22, 1194. Então, pessoalmente, gosto de usar portas diferentes. Eu escrevi sobre o uso de métodos diferentes nesta postagem de superusuário aqui , usando atd para ajudar você a não se trancar fora do controle remoto Debian VPS. Em suma, você poderia

  • use SSH e openVPN em uma porta diferente
  • use batida de porta para abrir as portas mediante solicitação
por 28.07.2016 / 10:14

Tags