IPtables bloccando il sito web consentendo solo SSH

Ho scritto il mio primo file di regole IPtables per cercare di proteggere il mio server in tutte le porte tranne SSH e le porte necessarie per il web.

Questo è quello che ho trovato:

  • Quale effetto ha la dimensione della striscia RAID sulle impostazioni di lettura avanti?
  • Qual è l'equivalente più vicino di "media di carico" in Windows disponibile tramite WMI?
  • La velocità di scrittura del disco è molto più bassa della velocità di lettura
  • Controllare l'authorization file di bypass ssh
  • iptables: port 80 in avanti fino alla port 8080
  • come limitare il numero di processi simultanei per utente nel sistema?
  • i=/sbin/iptables # Flush all rules $i -F $i -X # Setup default filter policy $i -P INPUT DROP $i -P OUTPUT DROP $i -P FORWARD DROP # Allow unlimited traffic on loopback $i -A INPUT -i lo -j ACCEPT $i -A OUTPUT -o lo -j ACCEPT # Open up ports for nginx $i -A INPUT -p tcp --dport 443 -j ACCEPT $i -A INPUT -p tcp --dport 80 -j ACCEPT $i -A INPUT -p tcp --dport 22 -j ACCEPT # Make sure nothing comes or goes out of this box $i -A INPUT -j DROP $i -A OUTPUT -j DROP 

    So che c'è un po 'di arte nera quando si tratta di tavoli IP, quindi mi chiedevo se qualcuno potesse entrare e vedere se questo è l'approccio giusto per assicurare un server web.

  • la mia prima configuration del server debian "di produzione"
  • gli aggiornamenti non controllati non si riavviano
  • Come faccio a utilizzare ubuntu samba per risolvere i nomi degli host di Windows?
  • Negare alcuni utenti locali (non indirizzi) per submit email da exim4
  • Come rimuovere completamente un pacchetto in Debian?
  • Do / usr / local e / usr / local / bin devono essere scrivibili in gruppo? In caso affermativo, perché?
  • 3 Solutions collect form web for “IPtables bloccando il sito web consentendo solo SSH”

    Probabilmente non si desidera eliminare tutte le connessioni in output.

    Potresti aggiungere una regola in anticipo per consentire le connessioni ESTABLISHED e se si utilizzano protocolli come ftp che potrebbero essere aggiunti in relazione alla regola, ad esempio

     -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

    ricorda le questioni relative alle regole – la prima partita vince.

    Dovresti probabilmente dare un'occhiata a questo Q & A che abbiamo per assicurare un server web Suggerimenti per la protezione di un server LAMP ha molte informazioni importnti.

    Lei manca -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT da qualche parte. Inoltre, non eliminerei tutti i pacchetti in output.

    INPUT catena

    Consente di creare nuove sessioni. @ La risposta di Lain ha un piccolo problema, non esegue controlli statali. Ciò può essere raggiunto eseguendo le seguenti operazioni:

     -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT 

    Consenti sessioni stabilite

     -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

    OUTPUT catena

    Opzione 1

    Consenti tutto il traffico in output

     -P OUTPUT ACCEPT 

    Opzione # 2

    Consenti solo traffico in output che risponde all'accettazione di input. Ciò può essere utile se si desidera eseguire il traffico in output.

     -P OUTPUT DROP -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

    E una regola di esempio per il traffico accettato in output

     -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT 

    . . .

    E una nota finale, mantenere le regole contenenti "-m state – STATE ESTABLISHED, RELATED" in prossimità della top of the ruleset, poiché spesso verranno confrontati. Le regole che iniziano le sessioni verranno utilizzate solo una volta alla session di pr.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.