A regra mais importante é o curto-circuito que permite que um IP estático ou um intervalo de endereços IP SEMPRE entre via SSH.
Se você precisar fazer login a partir de endereços aleatórios e quiser bloquear o SSH, considere também o knockd.
Eu tenho algumas regras básicas de iptable configuradas agora para os meus vps. Basta bloquear tudo, exceto algumas portas padrão, 80,21,22,443. Eu fico muito forçado a brutamontes. Eu ouvi dizer que o iptables é muito poderoso, mas eu não vi muitos casos de uso.
Você pode me dar um exemplo de uma (algumas) regra (s) que você sempre usa e dar um pequeno exemplo do porquê.
Não consigo encontrar um post de boas práticas gerais aqui no SF, se houver algum, gostaria do link. Se esta é uma duplicata, sinto muito e pode ser fechada.
A regra mais importante é o curto-circuito que permite que um IP estático ou um intervalo de endereços IP SEMPRE entre via SSH.
Se você precisar fazer login a partir de endereços aleatórios e quiser bloquear o SSH, considere também o knockd.
Eu pessoalmente uso Shorewall
. É um pouco difícil de entender, mas quando você começa a trabalhar, é uma ótima ferramenta. Há muitas regras predefinidas para bloquear o lixo e ativar alguns registros.
Você também pode definir sua política de cadeia padrão para DROP tudo e permitir apenas as portas necessárias. Não se esqueça de permitir o tráfego de ESTABLISHED
e RELATED
.
Eu geralmente mantenho o SSH bloqueado e permito o acesso de um punhado de IPs que pertencem às minhas máquinas. Se você não pode bloqueá-lo assim, para ataques de força bruta SSH eu uso denyhosts
. Às vezes, você obtém falsos positivos, mas você pode colocar na lista de permissões seus próprios IPs para que isso não aconteça.
Acho que as regras do iptables geradas pelo fail2ban não têm preço.
Eu não sei dizer se esta pergunta está a caminho de ser fechada, mas caso não seja: Eu tenho um página no meu site que explica o que eu considero ser um conjunto de regras padrão do IPtables. (É baseado no que eu uso, mas acho que muitos outros administradores de servidores estariam fazendo coisas parecidas)
Tags iptables