Настройка брандмауэра

0

1

Здравствуйте! Вопрос будет о настройке брандмауэра на сервере linux. Настраивать буду iptables, хотя вопрос не о нём, а о брандмауэрах вообще. Имеется сервер, используемый как шлюз Интернета eth0 - wan-интерфейс, eth1 - lan-интерфейс. Во многих публикациях читал о необходимости фильтров для защиты сервера и сети от нежелательных вторжений или от чего-то ещё. Вот в частности на www.iptables.ru написано что нужно добавить фильтр

-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT

Ну с блокировкой SYN и FIN пакетов понятно - нельзя позволить из Интернета устанавливать и завершать соединения с сервером А как быть с udp и icmp? Один виндовый брандмауэр по умолчанию блокирует фрагментированные дейтаграммы. А как быть с транзитными пакетами в lan / из lan? В общем знания мои в этом вопросе скудны и разрознены. Помогите разобраться.

Ссылка

←	Считыватель отпечаков пальцев, только фиксировать время и ID. На Linux?

Маршрутизация openvpn

→

Я делал так: блокировал весь входящий трафик:

$ sudo iptables -P INPUT DROP

И разрешал только соединения по локалхосту, из внутренней сети и прием уже установленных соединений:

$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -s 192.168.222.0/24 -i eth1 -j ACCEPT
$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

massive ★
(18.07.12 15:06:00 MSK)

Ссылка

Если по феншуям, то делаешь дефолт полиси DROP, а потом разрешаешь, что тебе нужно.

Насчёт запрета внешних коннектов. А если ты захочешь по ссх снаружи зайти?

aleks13 ★
(18.07.12 16:04:44 MSK)

Ответ на: комментарий от aleks13 18.07.12 16:04:44 MSK

22 порт для ssh открыть, всё остальное DROP
Кстати с теми правилами, что у massive пинг не работает.

sunny1983 ★★★★★
(18.07.12 16:36:27 MSK) автор топика

Ответ на: комментарий от sunny1983 18.07.12 16:36:27 MSK

Конечно не работает. Кто его там пропускал?

aleks13 ★
(18.07.12 16:37:19 MSK)

Ссылка

Внезапно, спрошу --- а зачем тебе вообще брандмауер?

spqr ★★★
(18.07.12 16:45:19 MSK)

Ответ на: комментарий от spqr 18.07.12 16:45:19 MSK

Зачем на граничном маршрутизаторе между интернетом файрвол??? Может, вы и дверь не закрываете на ключ уходя из дома?

~~no-dashi~~ ★★★★★
(18.07.12 17:16:18 MSK)

Ответ на: комментарий от no-dashi 18.07.12 17:16:18 MSK

Ключ является аналогом пароля к службе, а не закупоренным портам. Тут скорее будет похоже на закладывание форточки кирпичом.

spqr ★★★
(18.07.12 17:27:24 MSK)

Ответ на: комментарий от spqr 18.07.12 17:27:24 MSK

А файрвол является «ключем от подъезда».

~~no-dashi~~ ★★★★★
(18.07.12 17:37:50 MSK)

Ссылка

Ответ на: комментарий от sunny1983 18.07.12 16:36:27 MSK

Кстати с теми правилами, что у massive пинг не работает.

Это на его совести
Тупо дропая icmp можно поиметь очень весёлых проблем
http://www.znep.com/~marcs/mtu/

af5 ★★★★★
(18.07.12 18:35:38 MSK)

Ссылка

Ответ на: комментарий от spqr 18.07.12 16:45:19 MSK

spqr
Внезапно, спрошу --- а зачем тебе вообще брандмауер?

Ну вообще, я iptables активно использую: маскарадинг SNAT, проброс портов DNAT, из фильтрующих цепочек - FORWARD, у меня сеть разбита на подсети, каждому отделу - своя подсеть, и соответственно для каждого отдела по паре правил в FORWARD - на входящие и исходящие пакеты. Всё остальное - REJECT. По счётчикам удобно смотреть, какой отдел сколько трафика жрёт. В сети примерно 40 клиентов. Тут же блокировки стоят для тех кому интернет вообще не полагается, также блокирую rutracker.org иначе торрентоманы весь канал себе загробастают.
А вот зачем нужно закрывать порты пока не могу понять, ведь если нет программы которая данный бы порт слушала один хрен закрыт он или открыт.

sunny1983 ★★★★★
(18.07.12 23:17:40 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Считыватель отпечаков пальцев, только фиксировать время и ID. На Linux?

Admin

Маршрутизация openvpn

→

Похожие темы