1. Гость, мы просим Вас ознакомиться с Правилами Форума и Отказом от ответственности!

[Мини-гайд] Защита сервера средствами iptables

Тема в разделе 'PW Сервер', создана пользователем ТАМИОР, 6 июл 2011.

  1. Shaman Пользователи

    Сообщения:
    92
    Лайки:
    7
    Пол:
    Мужской
    Репутация:
    0
    Команда:
    Команда
    не продашь защиту,сделанную полностью?
  2. Naxer Пользователи

    Сообщения:
    0
    Лайки:
    0
    Репутация:
    0
    Присоединяюсь к вопросу :)
  3. TopicStarter Overlay

    ТАМИОР ... Пользователи

    Сообщения:
    125
    Лайки:
    52
    Пол:
    Мужской
    Репутация:
    0
    Пилад, прежде чем что-то сказать подумай не будешь ли ты ошибаться.
    Лично у меня на дедике пхпадмин стоял на 443 порту по хттпс протоколу =)

    Для тех кто хочет купить, отпишите в ЛС скайпы или другие контакты для связи.
  4. TopicStarter Overlay

    ТАМИОР ... Пользователи

    Сообщения:
    125
    Лайки:
    52
    Пол:
    Мужской
    Репутация:
    0
    Собственно, как и советовали, вот скриптик.

    Код:
    #!/bin/sh
    
    #clear all
    
    iptables -F
    
    
    
    #default
    
    iptables -P INPUT ACCEPT
    
    iptables -P FORWARD ACCEPT
    
    iptables -P OUTPUT ACCEPT
    
    iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    
    
    
    #local
    
    iptables -A INPUT  -i lo  -j ACCEPT
    
    
    
    #open
    
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    
    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
    
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    
    iptables -A INPUT -p udp --dport 9987 -j ACCEPT
    
    iptables -A INPUT -p tcp --dport 30033 -j ACCEPT
    
    iptables -A INPUT -p tcp --dport 10011 -j ACCEPT
    
    
    
    #close
    
    iptables -P INPUT DROP
    
    
    
    #save
    
    iptables-save > /root/firewall.conf
    
    sleep 1
    
    iptables-restore < /root/firewall.conf
    
    
    
    iptables -L --line-number
    
    
    
    echo "All rules LOAD"


    Теперь объясню что к чему.

    Делал для себя, для своего вэб сервера. Переделать под игровой не проблема.

    #clear all - очищает все ранее установленные правила.

    #default - политики по умолчанию (возможно там есть и лишние но на скорость не влияли пока что).

    #local - разрешаем локальные соединения.

    #open - список открытых портов.

    #close - закрываем всё остальное.

    #save - сохранение правил.



    Редактируем под себя, закидываем в /etc/init.d/

    В консольке пишем:

    Код:
    chmod +x /etc/init.d/name_your_script
    
    update-rc.d name_your_script 90

    name_your_script - имя файла в котором будут правила.

    90 - хз почему так, нашел на убунтологии.

    После этой процедуры правила будут прописываться автоматически при старте системы.



    Систему ограничения количества соединений пока в разработке. В новых версиях iptables нет политики --update. Есть несколько вариантов обхода такой проблемы, либо пересобрать ядро iptables, либо обходиться другими правилами.



    Вопросы сюда. В скайп, ЛС, асю не писать.

    При копировании на другие ресурсы указываем копирайты.

    (С) ТАМИОР aka Ниоро
  5. TopicStarter Overlay

    ТАМИОР ... Пользователи

    Сообщения:
    125
    Лайки:
    52
    Пол:
    Мужской
    Репутация:
    0
    upd:
    Выкладываю список IP, с которых во времена моего проекта велась атака на сервер.
  6. andrey3281 Пользователи

    Сообщения:
    16
    Лайки:
    0
    Репутация:
    0
    Команда:
    PW server admins
    Тамиор, здраствуй. У меня такая проблема вот нашел твой скриптик:

    так вот, что делать если у меня дин. ип?? Вчера поставил на сервер который стоит на впс так вот у меня ноу-ип стоит вписал я свой ноу ип туда и поставил на серв. Дело в том что сервер рестартанулся, у меня на айвеб и т.д. нормально заходило( у других нет :D), утром включа компьютер, пробую коннектится к айвебу или к порту 22 (WinSCP) не заходит... ноу ип включена..пришлось писать в техподдержку чтоб почистили рк.локал...Посоветуй что-то пожалуйста.
  7. wsok Программист Пользователи

    Сообщения:
    606
    Лайки:
    173
    Пол:
    Мужской
    Репутация:
    3
    сам iptables лишь начинаю постигать, но могу предположить копать в сторону твоей подсети, ведь как правило в динамических IP первые две маски цифр не меняются. Этим самым система будет пропускать все IP с вашего провайдера (по крайней мере даже если кто и вломится, вы будете знать, что нарушитель где то рядом совсем =), однако как показала практика блокирований подсетей, взломщиков из числа пользователей родного провайдера не наблюдалось )
    1 человеку нравится это.
  8. andrey3281 Пользователи

    Сообщения:
    16
    Лайки:
    0
    Репутация:
    0
    Команда:
    PW server admins
    а можно поподробнее обяснить как мне это сделать?
  9. TopicStarter Overlay

    ТАМИОР ... Пользователи

    Сообщения:
    125
    Лайки:
    52
    Пол:
    Мужской
    Репутация:
    0
    Это старый скрипт, его лучше объединить с этим:
    https://mmorpg-devs.ru/index.php?threads/5819
    Что и как тут везде расписано. Будет время, возможно, выложу что-то новое или лучше чем есть.
  10. RevivalDeos Пользователи

    Сообщения:
    0
    Лайки:
    0
    Пол:
    Мужской
    Репутация:
    0
    Команда:
    World4Play
    Я всё понимаю, но прости за выражение нахуя зачем открывать 22 и 21 порт? Вы бы ещё рабочий стол, внц поставили, а потом открыли 1 порт. Ещё можно сразу пароль отдать. Нет статического айпи адреса даже не думайте о серверостроении.
    Если хотите защитить свою машину, открываете все порты 2-3 айпи-адресам, потом оставляйте только нужные. (22, 21, 1, 443, 80) Это либо уязвимости, либо вы ставите апач на "игровой" сервер. А, если машина сайта и машина сервера в одном дата-центре, то можно, если руки из нормального места, поставить регу на сайт.
    А про фтп, я думаю лучше использовать sFTP тогда, если вы и открываете порт, то только один. Простите не сдержался. А у пв же ещё айвеб, тогда и порт айвеба закройте. Так же советую поставить CentOS и не парить себе мозги. Под CentOS куда больше репозиторий, чем под дебиан. А ещё есть сумасшедший ставящие рабочий стол на дебиан под рутом. Так же у дебиана нет нормальной iptables.
  11. default Пользователи

    Сообщения:
    119
    Лайки:
    28
    Пол:
    Мужской
    Репутация:
    0
    Команда:
    default
    Ну конечно
  12. RevivalDeos Пользователи

    Сообщения:
    0
    Лайки:
    0
    Пол:
    Мужской
    Репутация:
    0
    Команда:
    World4Play
    Что ну конечно? Её приходится скриптами в init.d настраивать.
  13. pilad Команда форума Модератор Пользователи

    Сообщения:
    1.741
    Лайки:
    482
    Пол:
    Мужской
    Репутация:
    1
    Команда:
    Freeman
    Для параноиков:
  14. RevivalDeos Пользователи

    Сообщения:
    0
    Лайки:
    0
    Пол:
    Мужской
    Репутация:
    0
    Команда:
    World4Play
    Не проще приобрести статический айпи? Я всё ещё не до конца понимаю смысл сообщения
  15. pilad Команда форума Модератор Пользователи

    Сообщения:
    1.741
    Лайки:
    482
    Пол:
    Мужской
    Репутация:
    1
    Команда:
    Freeman
    Смысл сообщения.. Смысл защиты.. Раз не видишь смысла - не лезь в дебри. Дебиан и айпитэйблс существуют дольше тебя, и их проектировали не ламеры. Если руки нормально растут и в англиских манах вдумчиво почитать, можно нормально настроить защиту. Нормальная защита в дц стоит от 1500$ в месяц , так что айпитэйблс, прямые руки и мозг - помогут решить проблемы.
    default нравится это.
  16. alekill Пользователи

    Сообщения:
    166
    Лайки:
    27
    Репутация:
    0
    Команда:
    GreenCat
    Если роутер и нет лишних людей в сети и открытого wi-fi, то открыть порт для регистрации (80) и игровой (29000) вот и вся защита. Подключиться сможете только вы с другого компьютера в сети, хоть через ssh, хоть через ftp. Ну это само собой подходит только для домашнего сервера, если у вас дома сервер стоит на отдельном ПК
    Clac нравится это.
Черновик сохранён Черновик удалён

Поделиться этой страницей