Хотелось бы обсудить firewall for Linux. Получив внешний ip возникла необходимосьт в настройки firewall. Не мудурствую лукаво, воспользовалась iptables. Сценарий вышел простенький, ибо только один сетевой интерфейс. Поясню: защита выстроена только на фильтре неправильных tcp пакетов. Как фильтровать udp не знаю. Сделала просто - принимать udp только на используемые порты, все прочие сбрасывать. Ниже будет пример работы фильтра
изночально выполняется политика безопасности - все пакеты не подходяще под критерии удоляются. Перавая цепочка INPUT - это вход в систему после firewall. Здесь разрешаем icmp запросы двух типов. Далее пропускаем уже установленное соединени. Цепочка FORWARD не прописана, ибо один интерфейс. На выходе - цепочка OUTPUT тоже полное согласие, далее основной фильтр - пакеты tcp с неправильными флагами. здесь не указана таблица nat, т.к один интерфейс
Хотелось бы обсудить firewall for Linux. Получив внешний ip возникла необходимосьт в настройки firewall. Не мудурствую лукаво, воспользовалась iptables. Сценарий вышел простенький, ибо только один сетевой интерфейс. Поясню: защита выстроена только на фильтре неправильных tcp пакетов. Как фильтровать udp не знаю. Сделала просто - принимать udp только на используемые порты, все прочие сбрасывать. Ниже будет пример работы фильтра
Chain INPUT (policy ACCEPT 8703 packets, 1828K bytes)
pkts bytes target prot opt in out source destination
3 92 ACCEPT icmp -- any any anywhere anywhere icmp echo-request
0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded
108K 116M bad_tcp tcp -- any any anywhere anywhere
346 18648 ACCEPT tcp -- any any anywhere anywhere tcpflags: FIN,SYN,RST,ACK/SYN
108K 116M ACCEPT tcp -- any any anywhere anywhere state RELATED,ESTABLISHED
282 12232 DROP tcp -- any any anywhere anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 109K packets, 14M bytes)
pkts bytes target prot opt in out source destination
Chain bad_tcp (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- any any anywhere anywhere tcpflags: SYN,ACK/SYN,ACK state NEW reject-with tcp-reset
80 5510 LOG tcp -- any any anywhere anywhere tcpflags:! FIN,SYN,RST,ACK/SYN state NEW LOG level warning prefix "New not syn:"
80 5510 DROP tcp -- any any anywhere anywhere tcpflags:! FIN,SYN,RST,ACK/SYN state NEW
изночально выполняется политика безопасности - все пакеты не подходяще под критерии удоляются. Перавая цепочка INPUT - это вход в систему после firewall. Здесь разрешаем icmp запросы двух типов. Далее пропускаем уже установленное соединени. Цепочка FORWARD не прописана, ибо один интерфейс. На выходе - цепочка OUTPUT тоже полное согласие, далее основной фильтр - пакеты tcp с неправильными флагами. здесь не указана таблица nat, т.к один интерфейс
в общем, сценарий рабочий, насколько эффективный - пока не знаю.
sudo ufw enable