support@0x2a.com.ua

iptables минимум.

Март 5th, 2017

Минимальные настройки iptables для защиты Вашего сервера:

Создаем файл iptables.sh c правами 744
# cd /root
# touch iptables.sh
# chmod 744 iptables.sh

Далее вставляем в него следующий текст:

______________________________________________________________________________
#!/bin/bash

###################################################
# clean iptables #
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
###################################################
# filter #
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# nat #
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# mangle #
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
####################################################
# DMZ ACCEPT POL.
iptables -A INPUT -s 62.109.29.191 -d 0/0 -j ACCEPT # license5.ispsystem.com
iptables -A INPUT -s 64.247.20.7 -d 0/0 -j ACCEPT # license5.ispsystem.com
iptables -A INPUT -s 37.230.118.22 -d 0/0 -j ACCEPT # license5.ispsystem.com
iptables -A INPUT -s 82.146.47.47 -d 0/0 -j ACCEPT # download.ispsystem.com
iptables -A INPUT -s 212.211.132.32 -d 0/0 -j ACCEPT # security.debian.org
iptables -A INPUT -s 193.29.220.29 -d 0/0 -j ACCEPT # ftp.ua.debian.org
iptables -A INPUT -s 85.143.112.112 -d 0/0 -j ACCEPT # ftp.ru.debian.org
iptables -A INPUT -s 91.211.116.5 -d 0/0 -j ACCEPT # 0x2a DNS server
iptables -A INPUT -s 8.8.8.8 -d 0/0 -j ACCEPT # google DNS server

iptables -A INPUT -s ВАШ_ДОМАШНИЙ_IP -d 0/0 -j ACCEPT
iptables -A INPUT -s ВАШ_ОФИСНЫЙ_IP_IP -d 0/0 -j ACCEPT

#
iptables -A INPUT -p tcp -s 0/0 -d IP_ВАШЕГО_СЕРВЕРА -m multiport —port 80,443,1500 -j ACCEPT # ACCEPT HTTP,HTTPS,ISP Ports

#
iptables -A INPUT -p tcp -s 0/0 -d IP_ВАШЕГО_СЕРВЕРА -j DROP
iptables -A INPUT -p udp -s 0/0 -d IP_ВАШЕГО_СЕРВЕРА -j DROP
iptables -A INPUT -p icmp -s 0/0 -d IP_ВАШЕГО_СЕРВЕРА -j DROP

______________________________________________________________________________

Изменяем правила:
1. Прописываем порты необходимые для работы
2. Прописываем и изменяем домашние и офисные IP адреса.

Если IP динамический то порт ssh необходимо добавить в общий список портов в правило «multiport»

Далее настраиваем авто запуск при перезагрузке
# echo «cd /root; ./iptables.sh» >> /etc/rc.local

Вот собственно самый минимум который необходим.

Добавить комментарий