|
20.04.2013, 15:42
|
#1 |
|
Junior Member
Регистрация: 17.10.2012
Сообщений: 21
Вес репутации: 0  |
настройка firewall для web сервера
Прошу помощи с правильной настройкой firewall для web сервера на базе mr3020 хочется защитится от атак
вот правила....которые хотелось бы использовать... подскажите как исправить скрипт чтоб пошел на openwrt Весь день в поиске и не нашел ни одного гайда по веб серверу и защите на основе openwrt... в моем случае iptables ругается на recent,conntrack,--name dmitro ну и вообщем правила не работают # Установка политик по умолчанию iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # Разрешаем локальный интерфейс iptables -A INPUT -i lo -j ACCEPT # Простая защита от DoS-атаки iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT # Защита от спуфинга iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset # Защита от попытки открыть входящее соединение TCP не через SYN iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP # Закрываемся от кривого icmp iptables -I INPUT -p icmp -f -j DROP # REL, ESTB allow iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT # Разрешаем рабочие порты iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Разрешение главных типов протокола ICMP iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT # Защита сервера SSH от брутфорса iptables -A INPUT -p tcp --syn --dport 22 -m recent --name dmitro --set iptables -A INPUT -p tcp --syn --dport 22 -m recent --name dmitro --update --seconds 30 --hitcount 3 -j DROP iptables -t nat -A prerouting_wan -p tcp --dport 39054 -j DNAT --to 192.168.1.1:22 # Порт 39000 со стороны WAN перенаправляется на порт 22 на локальный #IP-адрес роутера 192.168.1.1. #2. На перенаправленные таким образом новые подключения накладывается следующее ограничение: за 180 секунд будет принято не #более трех коннектов. iptables -A input_wan -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 3 --name ATTACKER_SSH --rsource -j DROP iptables -A input_wan -d 192.168.1.1 -p tcp --dport 22 -m state --state NEW -m recent --set --name ATTACKER_SSH --rsource -j ACCEPT #Весь трафик идущий не на 80 порт будет перенаправлен на 80 порт: iptables -A PREROUTING -t nat -p tcp ! --dport 80 -j REDIRECT --to-port 80 iptables -A INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 5 -j ACCEPT #Данная политика правил запретит первый пакет по протоколу tcp с флагом syn и пропустит все остальные.сканер покажет Вам что порт закрыт iptables -A INPUT -p tcp --dport 39000 -m state --state NEW -m hashlimit --hashlimit-name NAME1 --hashlimit-mode srcport --hashlimit-upto 1/m --hashlimit-burst 1 -j DROP iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m hashlimit --hashlimit-name NAME1 --hashlimit-mode srcport --hashlimit-upto 1/m --hashlimit-burst 1 -j DROP iptables -A INPUT -p tcp --syn -m multiport --dports 39000,80 -j ACCEPT Последний раз редактировалось 1976oldi; 22.04.2013 в 16:12. Причина: дополнение |
|
|
 |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Линейный вид
