Dotaz: Kontrola iptables pravidel

Ahoj,

mohli byste se mi kouknout na ty pravidla dole.
mam tam komentare co si myslim, ze to snad dela :D
mam to uz na vic serverech a nevim jestli dobre.

potrebovala bych co nejminimalistejsi verzi pravidel splnujici tohle
- povoleny ssh a http
- vse ostatni zakazane
- podporu pro banlist
nic vic

Martina
ps: nechci pouzivat nadstavby nad iptables, chci se naucit jak to funguje.


*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:ADDRESS-FILTER - [0:0]
:FW-INPUT - [0:0]
:REJECT-PKT - [0:0]
:SYN-FLOOD - [0:0]

$$$$$$$ tohle nahore chapu tak, ze to "resetne" pravidla na nulu (vymaze)

-A INPUT -j FW-INPUT
-A FW-INPUT -i lo -j ACCEPT
-A FW-INPUT -s 127.0.0.0/8 -j DROP
-A FW-INPUT -d 127.0.0.0/8 -j DROP
-A FW-INPUT -s SERVER_IP -j DROP
-A FW-INPUT -p tcp -m tcp --syn -j SYN-FLOOD
-A FW-INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP
-A FW-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FW-INPUT -p icmp -m icmp --icmp-type ping -j ACCEPT
-A FW-INPUT -j ADDRESS-FILTER

$$$$$$$ tohle dela neco :) myslim, ze by to melo delat kontrolu na podvrzeni ip (z lokalu)

-A FW-INPUT -p tcp -m tcp -d SERVER_IP --dport 10022 -s MOJE_IP_PRO_SSH -j ACCEPT
-A FW-INPUT -p tcp -m tcp -d SERVER_IP --dport 80 -j ACCEPT
-A FW-INPUT -j REJECT-PKT

$$$$$$$ povoli port pro ssh a druhy pro web, plus odmitne vsechny ostatni

#-A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN
#-A SYN-FLOOD -j DROP

$$$$$$$ nepovoli vic requestu nez jeden za sekundu, podle me zbytecnost (dokud neni problem)

-A REJECT-PKT -p tcp -m tcp -j REJECT --reject-with tcp-reset
-A REJECT-PKT -p udp -m udp -j REJECT --reject-with icmp-port-unreachable
-A REJECT-PKT -p icmp -m icmp --icmp-type ping -j REJECT --reject-with icmp-host-unreachable

$$$$$$$$ odmitne "neco" a odmitne i ping na server

-A ADDRESS-FILTER -s ZAKAZANA_IP1 -j REJECT-PKT
-A ADDRESS-FILTER -s ZAKAZANA_IP2 -j REJECT-PKT
-A ADDRESS-FILTER -j RETURN

$$$$$$$$ ban na dane ip

COMMIT

$$$$$$$$ aplikace pravidel

Predne je tvoje policy ACCEPT ,takze jsou tvoje pravidla k nicemu. Zaruhe bych se vyhnul pouzivani konfiguracniho souboru a napsal si obycejny skript a kompletni pravidla..

Plus pozor na icmp - to je servisni ptotokol ip - tzn. je treba strojum povolit aspon ty bezne servisni zpravy, jinak si koledujete o problemy. Pouzivam neco takoveho:

iptables -A INPUT -i eth0 -p icmp -f -j DROP
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/0 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/1 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/2 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/9 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/10 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 3/13 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j LOG
iptables -A INPUT -i eth0 -p icmp -j DROP

Prvni pravidlo je trochu diskutabilni, takze ho muzete vynechat, ale fragmentovany icmp je dle mych zkusenosti vysledkem lidskych pokusu, ne strojove komunikace.