Защита сервера - iptables

Статус
В этой теме нельзя размещать новые ответы.

ClouD

Инквизитор
Команда форума
Модератор
3 Апр 2012
402
136
43
Ярославль
Благодаря некоторым людям, расшариваю.
Тут не вся работа, так как с обновлением ядра iptables приходится перписывать почти все. По мере фикса будут дополнения.
Код:
#!/bin/sh
#clear all
iptables -F

#default
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#local
iptables -A INPUT -i lo -j ACCEPT

#open
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 9987 -j ACCEPT
iptables -A INPUT -p tcp --dport 30033 -j ACCEPT
iptables -A INPUT -p tcp --dport 10011 -j ACCEPT

#close
iptables -P INPUT DROP

#save
iptables-save > /root/firewall.conf
sleep 1
iptables-restore < /root/firewall.conf

iptables -L --line-number

echo "All rules LOAD"
Теперь объясню что к чему.
Делал для себя, для своего вэб сервера. Переделать под игровой не проблема.
#clear all - очищает все ранее установленные правила.
#default - политики по умолчанию (возможно там есть и лишние но на скорость не влияли пока что).
#local - разрешаем локальные соединения.
#open - список открытых портов.
#close - закрываем всё остальное.
#save - сохранение правил.

Редактируем под себя, закидываем в /etc/init.d/
В консольке пишем:

Код:
chmod +x /etc/init.d/name_your_script
update-rc.d name_your_script 90
name_your_script - имя файла в котором будут правила.
90 - хз почему так, нашел на убунтологии.
После этой процедуры правила будут прописываться автоматически при старте системы.

Систему ограничения количества соединений пока в разработке. В новых версиях iptables нет политики --update. Есть несколько вариантов обхода такой проблемы, либо пересобрать ядро iptables, либо обходиться другими правилами.

Вопросы сюда. В скайп, ЛС, асю не писать.
При копировании на другие ресурсы указываем копирайты.
(С) ТАМИОР aka Ниоро
 
  • Like
Реакции: sanekdnb
Статус
В этой теме нельзя размещать новые ответы.

Пользователи онлайн

Сейчас на форуме нет ни одного пользователя.

Последние ресурсы

Статистика форума

Темы
3.838
Сообщения
21.197
Пользователи
7.601
Новый пользователь
hkuno