The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables и порты"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"iptables и порты"  
Сообщение от alter_ego (ok) on 09-Мрт-08, 16:16 
Добрый день.
Начну с самого начала. Была идея фикс дать возможность нашим людям общаться, учится. В сентябре 2007, купил сервера взял стат IP адреса поставил Debian с широкими возможностями которого потом столкнулся. Запустил сайт на phpnuke и потихонечку потихонечку это стало набирать обороты, упомяну, что все расходы вместе с трафиком в 1 гиг в месяц и платой за стат адреса, ложились на меня. Следующим этапом купил панель для вэб хостинга на один сервер, на другой поставил триал версию и хотел отдать этот сервер под домены третьего уровня и в последствии купить. Но как то заметил, что счета за трафик стали увеличиваться причем неимоверно, хотя нагрузки ещё небыло. Стал пытаться отслеживать, чему был поражен система стала периодически отправлять события связанные с безопасностью. Список заблокированных хостов всё растёт и растёт и главное все ip адреса нашего любимого провайдера монополиста казахтелекома, среди них есть и статические адреса которые принадлежат их отделам. При попытке немного повонять мне сказали, что даже разбираться не будут. Так как я плачу за трафик в обе стороны если привысил входящий они берут за него, или если привысил исходящий то за него. Короче получается как бог на душу положет. Сейчас на один сервер пришло запросов за 14 минут с копейками уже 2377 tcp, 77 udp, на другой 1864. Проверял в других организациях где есть стат адреса, нет такой генерации трафика. Написав письмо с вопросом зачем людям чьи маилы высветились после проверки ip адресов, ответа жду до сих пор. В день мы генерируем порядка двести мегов и это не сайт.
Помогите настроить iptable так что бы работали только те порты которые надо, а остальные бы непринимали и не отвечали. Или это не выход?
наш конфиг iptable.up.rules, ято внём надо изменить?

-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT

В последнее время даже не боятся и светят стат адреса с которых запускают lsas exploit

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables и порты"  
Сообщение от angra (ok) on 09-Мрт-08, 18:04 
В двух словах не объяснишь. Рекомендую для начала почитать какое-нибудь руководство. Особое внимание обратить на действия(DROP/REJECT/ACCEPT) по умолчанию, работу с syn/ack, логирование(дабы выяснить откуда берется большая часть трафика), также могут помочь счетчики(для ограничения dos, лучше такое чем ничего). Очень неплохой мануал на этом сайте: http://www.opennet.dev/docs/RUS/iptables
После того как разберетесь с ним стоит перейти к man iptables.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables и порты"  
Сообщение от reader (ok) on 10-Мрт-08, 20:23 
Ну убъете вы входящий пакет и что? Провайдер его к вам доставил же, а значит и посчитал как входящий для вас и вы его все равно оплатите. Правда уменьшится исходящий трафик. Так что все равно с провайдером придется разбираться.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables и порты"  
Сообщение от angra (ok) on 11-Мрт-08, 16:46 
Разницу в объеме между стартовыми syn и пакетами с данными при установленном соединении не учитываете? Если использовать DROP, вместо REJECT, то получаем довольно большой промежуток между попытками установки соединения. Можно при желании поискать дополнительные патчи к iptables, дающие более извращенные действия чем DROP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables и порты"  
Сообщение от Agressor (ok) on 12-Мрт-08, 16:28 
А не дешевле ли и с меньшим гимором на деньги, которые тратиш на сервера и траф, купить было VDS или целый сервер в датацентре где-нить? Зрите в корень...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру