Servidor: Ubuntu 10.04 LTS x64 (servidor em nuvem na rackspace)
Tentando lidar melhor com o iptables. Todo o tráfego deve ser descartado, exceto SSH e HTTP. Tudo de saída é seguro. não para frente. O código que eu tenho abaixo é baseado em uma amostra que encontrei no entanto não consigo encontrar nenhum documento para explicar qual é o intervalo para filtros, por exemplo ": INPUT DROP [0: 65536]" Qual o valor 0: 65536 para definir? Eu acho que o intervalo de portas, então eu dei a gama completa, mas depois de sair tem como padrão muito maior. Foi diferente, mas mudar não parece ter efeito em nada. O que isso faz?
Segundo, enquanto o tráfego é bloqueado, uma varredura nmap com full connect "-sT" ainda mostra algumas 20-30 portas como abertas, mas a captura de banner com o netcat não mostra nada. Isso é normal?
Meu método para testes é (como root).
iptables -F
iptables -L (verifique o seu descarregamento)
iptables-restore < iptables.test.rules
iptables.test.rules
*filter
:INPUT DROP [0:65536]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1628:151823]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#future use
#-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
COMMIT
Os valores em [ ... : ... ] são contadores [ contagem de pacotes : contagem de bytes ]. No formato iptables-save, eles são usados para inicializar os contadores quando você executa o comando iptables-restore. Você pode vê-los quando você usa o comando iptables -L -v, por exemplo.
do iptables-save
:OUTPUT ACCEPT [48793:7859926]
de iptables -L -v
Chain OUTPUT (policy ACCEPT 48697 packets, 7845K bytes)
Quais portas você está vendo em aberto? Eu só vejo as portas que tenho abertas.
Tags iptables ubuntu ubuntu-10.04