Gibt es ein empfohlenes Standard-Iptables-Setup?

7

Ich benutze Ubuntu Server schon eine Weile, habe aber nie wirklich Zeit in iptables investiert. Ich habe mich gefragt, ob es eine empfohlene Möglichkeit gibt, iptables auf einem einfachen Server zu installieren. Ein iptables Boilerplate im Wesentlichen.

Außerdem wäre eine Erläuterung aller am häufigsten verwendeten Ubuntu-Server-Ports sehr hilfreich.

Emmanuel M. Smith
quelle
2
Ist Gufw noch in der Entwicklung? help.ubuntu.com/community/Gufw
Djangofan

Antworten:

8

Es ist fantastisch, dass Sie sich für iptables interessieren.

Wie Sie jedoch sehen können, gibt es eine gewisse Lernkurve.

Die Grundlagen sind

Alle Dienste überwachen Ports. Eine Analogie wäre ein Apartmentkomplex, Ihre Ports sind analog zu Apartmentnummern.

Gemeinsame Ports sind

FTP - 21

SSH - 22

Apache - HTTP 80; HTTPS 443

Eine vollständige Liste der Ports erhalten Sie über eine Google-Suche oder über / etc / services

Dies könnte auch helfen

https://help.ubuntu.com/10.04/serverguide/C/index.html

Geben Sie von dort aus iptables ein. Als Firewall ist iptables eine Möglichkeit, den Zugriff einzuschränken.

Grundsätzlich haben Sie 3 breite Möglichkeiten.

  1. Öffentliche Server, dh Apache. Hier erlauben Sie allen Verkehr und Blacklist schlecht handelnde IP (Spammer)

  2. Private Server, dh ssh. Hier verweigern Sie den gesamten Datenverkehr und autorisierten Verbindungen auf der weißen Liste.

  3. Grenze. Sie können Ping zulassen, jedoch nur mit einer bestimmten Rate.

Wenn Sie mit iptables noch nicht vertraut sind, möchten Sie möglicherweise mit ufw beginnen. ufw ist ein Kommandozeilen-Frontend für iptables und einfacher zu erlernen. Die Syntax ist iptables sehr ähnlich, so dass der Übergang von ufw zu iptables einfach ist.

Sehen:

https://help.ubuntu.com/community/UFW

https://help.ubuntu.com/community/IptablesHowTo

Diese Informationen sollten Ihnen den Einstieg erleichtern. Wenn Sie ein Problem haben, können Sie gerne eine spezifischere Frage stellen.

Ich habe auch eine Einführungsseite zu iptables, wenn Sie möchten. Ich habe es über die Jahre mit Rückmeldungen von Leuten gepflegt, die neu bei iptables sind, hoffe, es hilft.

http://bodhizazen.com/Tutorials/iptables

Panther
quelle
/etc/ports? Du meinst /etc/services?
arrangieren
Das tut mir leid.
Panther
Sie müssen sich nicht entschuldigen :) Ihre Beiträge, Ihr Blog und andere Ressourcen haben mir immer sehr geholfen. Danke für all das.
arrangieren Sie den
Hmm, gibt es einen Nachteil bei der Verwendung von ufw für die Grundeinstellung?
Emmanuel M. Smith
Die einzigen Nachteile, die ich mir vorstellen kann, sind persönliche Vorlieben. Einige Leute bevorzugen möglicherweise alternative Werkzeuge (alternative grafische Werkzeuge, iptables) oder haben bevorzugte Optionen (DROP vs REJECT). Der andere "Nachteil" wäre, dass Sie den Port in Ihrer Firewall öffnen müssten, wenn Sie einen Dienst (ssh, samba, nfs, VNC) ausführen möchten.
Panther
4

Der empfohlene Weg (für Anfänger) besteht darin, ufw zu aktivieren, das wiederum automatisch iptablesGrundregeln für Sie festlegt :

sudo ufw enable

Grundsätzlich werden dadurch alle unerwünschten Pakete blockiert (die vollständige Liste der auf diese Weise eingerichteten Regeln finden Sie unter sudo iptables -L).

Um eine Verbindung zum Server herstellen zu können, müssen Sie beispielsweise einige Ports zulassen

sudo ufw allow 22/tcp

zu erlauben sshusw.

ordnen
quelle
3

Ich empfehle, dass Sie auch Schutz gegen einige Scan-Typen und ungewöhnliche (möglicherweise böswillige) TCP-Einstellungen hinzufügen:


-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE  -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -m state --state INVALID -j DROP

(Über hideandhack.com .)

sigxcpu
quelle