Dotaz: Moje první nastavení iptables

Ahoj všem,

nastavuji svoje první iptables na server. Poběží tam jen pár webových stránek. Ale vzhledem k tomu že jednu ze stránek má vysokou oblíbenost u Spambotů a podobné havěti, jsem měl problémy s přetížením serveru (viz můj problém nedávno).

Pomocí rady od místního guru Maxe, jsem si přidal do iptables řádek iptables -A INPUT -i eth0 -p tcp --dport 80 -m limit --limit 10/s --limit-burst 20 -j ACCEPT a vše se zatím zdá být v pořádku, ale samozřejmě, je to pouze dočasné. Tak jsem s pomocí Google sesmolil jakési nastavení podle mých potřeb, a rád bych vás požádal o kontrolu jestli tam není nějaká fatální chyba.

Informace jsem čerpal především z tohoto a tohoto návodu.

A mimo jiné mám jeden pro mne dosti důležitý dotaz, vzhledem k tomu že vše budu budu vkládat vzdáleně přes KVM, tak se chci zeptat jak se aktivují příslušné filtry, okamžitě po zadání nebo nějakým příkazem? Nerad bych si po zadání iptables -P INPUT DROP na začátku zablokoval další možnost přístupu

Děkuji všem za případné návrhy a rady.

Dan

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i $INTERNET -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERNET -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i $INTERNET -p TCP --dport 80 -j ACCEPT	# HTTP
iptables -A INPUT -i $INTERNET -p TCP --dport 443 -j ACCEPT	# HTTPS
iptables -A INPUT -i $INTERNET -p TCP --dport 21 -j ACCEPT	# FTP
iptables -A INPUT -i $INTERNET -p TCP --dport 10798 -j ACCEPT	# VNC
iptables -A INPUT -i $INTERNET -p TCP --dport 10000 -j ACCEPT	# WEBMIN

iptables -A INPUT -i $INTERNET -p TCP --dport 113 -j REJECT

iptables -N blacklist
iptables -A blacklist -m limit --limit 5/h --limit-burst 3 -j LOG --log-prefix "BlackList: "
iptables -A blacklist -j DROP

iptables -A INPUT -i eth0 -p tcp --dport 80 -m ! limit --limit 10/s --limit-burst 20 -j blacklist

iptables -N synflood 
iptables -A synflood -m limit --limit 1/s --limit-burst 5 -j LOG --log-prefix "synflood: "
iptables -A synflood -j DROP

iptables -A INPUT -i $INTERNET -p TCP --syn -j synflood

iptables -t nat -A PREROUTING -p TCP ! --syn -m state --state NEW -j DROP

iptables -A INPUT -i $INTERNET -p TCP --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: "
iptables -A INPUT -i $INTERNET -p TCP --tcp-flags SYN,FIN SYN,FIN -j DROP

iptables -A INPUT -m limit --limit 3/hour --limit-burst 5 -j LOG

Pravidlo se aktivuje okamžitě, takže pokud je budete vkládat po síti a začnete pravidlem iptables -P INPUT DROP, zároveň tím i skončíte Můžete si to ale napsat do nějakého skriptu a ten pak spustit. Při vzdálených úpravách iptables ale bývá dobré mít spouštěnou (třeba přes at) nějakou pojistku, která vrátí firewall do původního stavu (přes iptables-restore) nebo jej vyresetuje do nastavení „vše povoleno“ – pro případ, že se vám něco nepovede a odříznete si přístup ke stroji (člověk by neřekl, jak je to snadné).

Několik poznámek k tomu:

• používáš tam proměnnou INTERNET, kterou minimálně ve výpisu tady nemáš definvanou - tak na to pozor :)
• bývá docela slušnost povolit na server alespoň ping. Navíc tím, že established a related spojení máš povolené jen pro TCP/UDP, tak si případně nepingneš ze serveru ani ty jinam (osobně established/related povoluju všechny - věřím svému serveru že neposílá žádné chuje)
• povolit port 21 pro ftp nestačí - FTP používá pro datový přenos ještě jiné porty. Pro dobrou funkčnost je potřeba modul nf_conntrack_ftp (pokud se neštítíš conntracku) a mám pocit že to pravidlo se pak nějak matchuje - dá se to vygooglit
• nevidím tam SSH - to ho nepoužíváš? :)
• pokud server spravuješ jenom z určitých lokací a ne zrovna z každé hospody kde sedíš, je docela vhodné věci typu webmin, vnc a další co používáš pro správu povolit pouze z IP rozsahů, odkud tam běžně lezeš a neotevírat je úplně otevřeně do světa (SSH to přežije, ale webminu/vnc bych se celkem bál)... pokud potřebuješ být mobilní, tak možné řešení ještě je udělat si na server třeba openvpn tunel (nebo do nějaké povolené sítě) a přistupovat odsud.

iptables -A INPUT -i $INTERNET -p ICMP --icmp-type 0 -j ACCEPT #echo-reply
iptables -A INPUT -i $INTERNET -p ICMP --icmp-type 3 -j ACCEPT #time-exceeded
iptables -A INPUT -i $INTERNET -p ICMP --icmp-type 11 -j ACCEPT #destination-unreachable
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT