Автор Тема: Повече сигурност с iptables. Как ?  (Прочетена 1991 пъти)

toti84

  • Напреднали
  • *****
  • Публикации: 115
    • Профил
Здравейте колеги,
Проблема ми е следния, който произлиза от факта, че до сега не съм отварял от така наречените публичните поротве
като в този случай е 80, Като притесненията ми са, че е напълно възможно да ме бомбандират с "лоши" tcp/ip пакети, кънекции и т.н.
правилата, който съм сложил до този момент са:

Код:
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j HTTPD
-A HTTPD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "iptables bad 1: "
-A HTTPD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP         
-A HTTPD -f -j LOG --log-prefix "iptables bad fragment: "                                     
-A HTTPD -f -j DROP                                                                           
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "iptables bad 2: "     
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP                 
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "iptables bad 3: "
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP     
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "iptables bad 4: "
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP                       
-A HTTPD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "iptables bad 5: "     
-A HTTPD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP                                     
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG --log-prefix "iptables bad 6: "     
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP                                     
-A HTTPD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "iptables bad 7: "         
-A HTTPD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP                                         
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j LOG --log-prefix "iptables bad 8: "
-A HTTPD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP         
-A HTTPD -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j LOG --log-prefix "trafic80 "
-A HTTPD -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 25 --connlimit-mask 32 -j DROP
-A HTTPD -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

Ако може да предложите някои правила да подсиля защитаната стена ще съм много благодарен
Забравих и да спомента че направих и някои промени в насторойките на ядрото :
Код:
/etc/sysctl.conf                                                                                     
net.ipv4.icmp_echo_ignore_broadcasts = 1                                                             
net.ipv4.icmp_echo_ignore_all = 1                                                                   
net.ipv4.tcp_syncookies = 1                                                                         
net.ipv4.conf.all.rp_filter = 1                                                                     
net.ipv4.conf.all.log_martians = 1                                                                   
net.ipv4.conf.all.accept_source_route = 0                                                           
net.ipv4.conf.all.accept_redirects = 0                                                               
net.ipv4.conf.all.secure_redirects = 0                                                               
net.ipv4.conf.all.send_redirects = 0

ОС: Fedora 12; Web server: Apache2
Активен

zeridon

  • Killmode enabled
  • Administrator
  • Напреднали
  • *****
  • Публикации: 1398
  • Distribution: Debian/Ubuntu
  • Window Manager: console/Gnome
  • BOfH
    • Профил
    • WWW
Re: Повече сигурност с iptables. Как ?
« Отговор #1 -: Mar 14, 2010, 19:37 »
махни net.ipv4.icmp_echo_ignore_all = 1
по скоро пречи в дебъгването на някои ситуации

може да сложиш и нещо то сорта на mod_bwlimit за апача

можеш да добавиш и:
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
Активен

Внмимавай имам клещи за кабел
http://www.netsecad.com/
http://theregister.co.uk/odds/bofh/

Warstomp

  • Напреднали
  • *****
  • Публикации: 344
  • Distribution: Debian, Ubuntu
    • Профил
Re: Повече сигурност с iptables. Как ?
« Отговор #2 -: Mar 15, 2010, 08:46 »
Това ако е за раздел начинаещи - евала  :D
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: Повече сигурност с iptables. Как ?
« Отговор #3 -: Mar 15, 2010, 10:48 »
Не съм разглеждал подробно правилата, но веднага ти казвам да сложиш limit match на всяко -j LOG - иначе си правиш log-flood :)
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 2510 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 2102 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 2565 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 2754 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 1927 Последна публикация May 03, 2003, 17:00
от