[Мини-гайд] Защита сервера средствами iptables

не продашь защиту,сделанную полностью?

Присоединяюсь к вопросу

Пилад, прежде чем что-то сказать подумай не будешь ли ты ошибаться.
Лично у меня на дедике пхпадмин стоял на 443 порту по хттпс протоколу =)

Для тех кто хочет купить, отпишите в ЛС скайпы или другие контакты для связи.

Собственно, как и советовали, вот скриптик.

Код:

#!/bin/sh

#clear all

iptables -F



#default

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT



#local

iptables -A INPUT  -i lo  -j ACCEPT



#open

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p udp --dport 9987 -j ACCEPT

iptables -A INPUT -p tcp --dport 30033 -j ACCEPT

iptables -A INPUT -p tcp --dport 10011 -j ACCEPT



#close

iptables -P INPUT DROP



#save

iptables-save > /root/firewall.conf

sleep 1

iptables-restore < /root/firewall.conf



iptables -L --line-number



echo "All rules LOAD"

Теперь объясню что к чему.

Делал для себя, для своего вэб сервера. Переделать под игровой не проблема.

#clear all - очищает все ранее установленные правила.

#default - политики по умолчанию (возможно там есть и лишние но на скорость не влияли пока что).

#local - разрешаем локальные соединения.

#open - список открытых портов.

#close - закрываем всё остальное.

#save - сохранение правил.



Редактируем под себя, закидываем в /etc/init.d/

В консольке пишем:

Код:

chmod +x /etc/init.d/name_your_script

update-rc.d name_your_script 90

name_your_script - имя файла в котором будут правила.

90 - хз почему так, нашел на убунтологии.

После этой процедуры правила будут прописываться автоматически при старте системы.



Систему ограничения количества соединений пока в разработке. В новых версиях iptables нет политики --update. Есть несколько вариантов обхода такой проблемы, либо пересобрать ядро iptables, либо обходиться другими правилами.



Вопросы сюда. В скайп, ЛС, асю не писать.

При копировании на другие ресурсы указываем копирайты.

(С) ТАМИОР aka Ниоро

upd:
Выкладываю список IP, с которых во времена моего проекта велась атака на сервер.

Тамиор, здраствуй. У меня такая проблема вот нашел твой скриптик:

так вот, что делать если у меня дин. ип?? Вчера поставил на сервер который стоит на впс так вот у меня ноу-ип стоит вписал я свой ноу ип туда и поставил на серв. Дело в том что сервер рестартанулся, у меня на айвеб и т.д. нормально заходило( у других нет ), утром включа компьютер, пробую коннектится к айвебу или к порту 22 (WinSCP) не заходит... ноу ип включена..пришлось писать в техподдержку чтоб почистили рк.локал...Посоветуй что-то пожалуйста.

сам iptables лишь начинаю постигать, но могу предположить копать в сторону твоей подсети, ведь как правило в динамических IP первые две маски цифр не меняются. Этим самым система будет пропускать все IP с вашего провайдера (по крайней мере даже если кто и вломится, вы будете знать, что нарушитель где то рядом совсем =), однако как показала практика блокирований подсетей, взломщиков из числа пользователей родного провайдера не наблюдалось )

а можно поподробнее обяснить как мне это сделать?

Это старый скрипт, его лучше объединить с этим:
https://mmorpg-devs.ru/index.php?threads/5819
Что и как тут везде расписано. Будет время, возможно, выложу что-то новое или лучше чем есть.

Я всё понимаю, но прости за выражение нахуя зачем открывать 22 и 21 порт? Вы бы ещё рабочий стол, внц поставили, а потом открыли 1 порт. Ещё можно сразу пароль отдать. Нет статического айпи адреса даже не думайте о серверостроении.
Если хотите защитить свою машину, открываете все порты 2-3 айпи-адресам, потом оставляйте только нужные. (22, 21, 1, 443, 80) Это либо уязвимости, либо вы ставите апач на "игровой" сервер. А, если машина сайта и машина сервера в одном дата-центре, то можно, если руки из нормального места, поставить регу на сайт.
А про фтп, я думаю лучше использовать sFTP тогда, если вы и открываете порт, то только один. Простите не сдержался. А у пв же ещё айвеб, тогда и порт айвеба закройте. Так же советую поставить CentOS и не парить себе мозги. Под CentOS куда больше репозиторий, чем под дебиан. А ещё есть сумасшедший ставящие рабочий стол на дебиан под рутом. Так же у дебиана нет нормальной iptables.

Ну конечно

Что ну конечно? Её приходится скриптами в init.d настраивать.

Не проще приобрести статический айпи? Я всё ещё не до конца понимаю смысл сообщения

Если роутер и нет лишних людей в сети и открытого wi-fi, то открыть порт для регистрации (80) и игровой (29000) вот и вся защита. Подключиться сможете только вы с другого компьютера в сети, хоть через ssh, хоть через ftp. Ну это само собой подходит только для домашнего сервера, если у вас дома сервер стоит на отдельном ПК