The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"rc.firewall грамотный и, главное, безопасный!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"rc.firewall грамотный и, главное, безопасный!"
Сообщение от unset Искать по авторуВ закладки on 01-Окт-03, 06:57  (MSK)
возможно, есть какие-нибудь ньюансы, неизвестные новичку
покажите пожалуйста грамотный конфиг, а то я запутался
защита от флуда и всё по-полной...
или дайте свой

на сервере используется http,https,ssh,ftp
3306 будет закрыт
named - планируется, но пока не используется (так же: pop3,pop3s,imap)

если уже было, то ткните - где.
спасибо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от denn emailИскать по авторуВ закладки on 01-Окт-03, 16:25  (MSK)
http://www.opennet.dev/base/net/ipfw_guide.txt.html
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от unset Искать по авторуВ закладки on 02-Окт-03, 05:52  (MSK)
>http://www.opennet.dev/base/net/ipfw_guide.txt.html


спасибо. уже читал. статья и натолкнула на этот пост.
там случай с подсеткой и юзерами

а хотелось бы для конкретного случая
секьюрный.

или дайте свой посмотреть

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от toster Искать по авторуВ закладки on 02-Окт-03, 13:55  (MSK)
[url]http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html[/url] это глянь, там хорошее описалово и примеры рабочих конфигов различных. Я свой конфиг на базе этого сделал. У меня закрыты все порты со стороны инета, кроме 80 и 22 для определенных юзерей и некоторые события логятся. Но по хорошему, надо еще закрыть все со стороны локалки, кроме необходимых сервисов, дабы вири всяки не могли соединения с хозяевами устраивать

INET_IP="x.x.x.53"
INET_IFACE="eth0"
INET_BROADCAST="x.x.x.55"

LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
LAN_IFACE="eth1"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP -m limit --limit 3/minute --limit-burst 3 \
--syn -j LOG --log-level debug --log-prefix "Syn accept:"
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s x.x.x.54 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s x.x.x.135 --dport 80 -j allowed

$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \
--destination-port 135:139 -j DROP

$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
--destination-port 67:68 -j DROP

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

$IPTABLES -t mangle -A PREROUTING -p TCP --dport 33434:33542 -j \TTL --ttl-inc 1

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от unset Искать по авторуВ закладки on 03-Окт-03, 05:48  (MSK)
>[url]http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html[/url] это глянь, там хорошее описалово и примеры рабочих конфигов

похоже, я забыл кое-что указать...
FreeBSD 4.7 + ipfw

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от Demar Искать по авторуВ закладки on 03-Окт-03, 17:19  (MSK)
>[url]http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html[/url] это глянь, там хорошее описалово и примеры рабочих конфигов различных. Я
>свой конфиг на базе этого сделал. У меня закрыты все порты
>со стороны инета, кроме 80 и 22 для определенных юзерей и
>некоторые события логятся. Но по хорошему, надо еще закрыть все со
>стороны локалки, кроме необходимых сервисов, дабы вири всяки не могли соединения
>с хозяевами устраивать

to toster:
Судя по-всему, тому, кто начал эту тему информация не нужна, так что скажу от себя спасибо :0)
Но попутно возник вопрос: что нужно смотреть и крутить, чтобы сообщения о блокированных пакетах шли только в определенный log-файл, но не на экран?

С уважением,
Михаил

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от unset Искать по авторуВ закладки on 05-Окт-03, 02:09  (MSK)
так никто ничего и не скажет?...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "rc.firewall грамотный и, главное, безопасный!"
Сообщение от JudgePavel emailИскать по авторуВ закладки on 10-Ноя-03, 01:51  (MSK)
>так никто ничего и не скажет?...

Ты /etc/syslog.conf поправь. пропиши что-то вроде
ipfw
*.*        /var/log/ipfw.log

если не попутал.... там по аналогии разберешься.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру