IPtables bloccando il sito web consentendo solo SSH

Ho scritto il mio primo file di regole IPtables per cercare di proteggere il mio server in tutte le porte tranne SSH e le porte necessarie per il web.

Questo è quello che ho trovato:

  • Impostare grub2 su un raid software GPT 3 TB HDD
  • Proxy trasparente del calamaro solo per il traffico in output
  • Configurazione di distribuzione a sisthemes Linux
  • Come memorizzare i dati su una macchina la cui potenza viene tagliata a caso
  • Visualizzazione del disco I / O in Linux
  • Quali cose utili possono essere aggiunte a un .bashrc?
  • i=/sbin/iptables # Flush all rules $i -F $i -X # Setup default filter policy $i -P INPUT DROP $i -P OUTPUT DROP $i -P FORWARD DROP # Allow unlimited traffic on loopback $i -A INPUT -i lo -j ACCEPT $i -A OUTPUT -o lo -j ACCEPT # Open up ports for nginx $i -A INPUT -p tcp --dport 443 -j ACCEPT $i -A INPUT -p tcp --dport 80 -j ACCEPT $i -A INPUT -p tcp --dport 22 -j ACCEPT # Make sure nothing comes or goes out of this box $i -A INPUT -j DROP $i -A OUTPUT -j DROP 

    So che c'è un po 'di arte nera quando si tratta di tavoli IP, quindi mi chiedevo se qualcuno potesse entrare e vedere se questo è l'approccio giusto per assicurare un server web.

  • Kerberos, .k5login e sudo
  • Distriggersre il pacchetto virtuale nelle preferenze di / etc / apt / di Debian
  • Duplicare i file di configuration con estensione .dpkg-dist
  • Replica di ritardo master-slave MySQL
  • Come configurare il timeout di autofs5 per base di file system?
  • Risoluzione dei problemi relativi al riavvio del server debian 6
  • 3 Solutions collect form web for “IPtables bloccando il sito web consentendo solo SSH”

    Probabilmente non si desidera eliminare tutte le connessioni in output.

    Potresti aggiungere una regola in anticipo per consentire le connessioni ESTABLISHED e se si utilizzano protocolli come ftp che potrebbero essere aggiunti in relazione alla regola, ad esempio

     -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

    ricorda le questioni relative alle regole – la prima partita vince.

    Dovresti probabilmente dare un'occhiata a questo Q & A che abbiamo per assicurare un server web Suggerimenti per la protezione di un server LAMP ha molte informazioni importnti.

    Lei manca -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT da qualche parte. Inoltre, non eliminerei tutti i pacchetti in output.

    INPUT catena

    Consente di creare nuove sessioni. @ La risposta di Lain ha un piccolo problema, non esegue controlli statali. Ciò può essere raggiunto eseguendo le seguenti operazioni:

     -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT 

    Consenti sessioni stabilite

     -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

    OUTPUT catena

    Opzione 1

    Consenti tutto il traffico in output

     -P OUTPUT ACCEPT 

    Opzione # 2

    Consenti solo traffico in output che risponde all'accettazione di input. Ciò può essere utile se si desidera eseguire il traffico in output.

     -P OUTPUT DROP -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

    E una regola di esempio per il traffico accettato in output

     -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT 

    . . .

    E una nota finale, mantenere le regole contenenti "-m state – STATE ESTABLISHED, RELATED" in prossimità della top of the ruleset, poiché spesso verranno confrontati. Le regole che iniziano le sessioni verranno utilizzate solo una volta alla session di pr.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.