Перейти к содержанию
Авторизация  
n1ce

Настройка Машинки

Рекомендуемые сообщения

Ага все побежали учить автора настраивать машину, мб и iptables сразу научить настраивать(хотя должен знать каждый уважающий себя человек)....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

выполнение всех команд на ваш страх и риск

я не беру ответственность за все ваши действия, и действия этих команд

 

 

# !! Только для UNIX-систем !!
# это не панацея, набросок со стандартными правилами; заддосить не смогли, зато сайт уронили - 1.3кк обращений в час.
# очищаем правила
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
# other network protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies							 # enable syn cookies (prevent against the common 'syn flood attack')
echo 0 > /proc/sys/net/ipv4/ip_forward								 # disable Packet forwarning between interfaces
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts				 # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians					 # log packets with impossible addresses to kernel log
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses		 # disable logging of bogus responses to broadcast frames
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter						 # do source validation by reversed path (Recommended option for single homed hosts)
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects					 # don't send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route			 # don't accept packets with SRR option
# запрещаем все
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
# drop Bad Guys
/sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP
# drop unwanted services
/sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP
/sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP
# accept everything from loopback
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# disable ping
/sbin/iptables -A INPUT -p icmp -j DROP
# internet (established and out)
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# открываем порт логина 2106
/sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT
# закрываем порт гейм сервера 7777
/sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP
###
# прочие разрешения
## коннект к БД, порт 3306
# запрет для всех остальных
/sbin/iptables -I INPUT -p tcp --dport 3306 -j DROP
# разрешить следующим IP
iptables -I INPUT -p tcp -s ВАШ_IP --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s IP_САЙТА --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
## коннект к SSH, порт 22
# запрет для всех остальных
/sbin/iptables -I INPUT -p tcp --dport 22 -j DROP
# разрешить следующим IP
/sbin/iptables -I INPUT -p tcp --dport 22 -s ВАШ_IP -j ACCEPT

Не поможет особо....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я росказал)

ну и что ты там росказал? помойму ТС не просил мануал по установке явы и мускула

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

enermax, Вы ничего не рассказали по настройке my.cnf, ограничению соединений, оптимизации mysql.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

выполнение всех команд на ваш страх и риск

я не беру ответственность за все ваши действия, и действия этих команд

 

 

# !! Только для UNIX-систем !!
# это не панацея, набросок со стандартными правилами; заддосить не смогли, зато сайт уронили - 1.3кк обращений в час.
# очищаем правила
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
# other network protection
echo 1 > /proc/sys/net/ipv4/tcp_syncookies							 # enable syn cookies (prevent against the common 'syn flood attack')
echo 0 > /proc/sys/net/ipv4/ip_forward								 # disable Packet forwarning between interfaces
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts				 # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians					 # log packets with impossible addresses to kernel log
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses		 # disable logging of bogus responses to broadcast frames
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter						 # do source validation by reversed path (Recommended option for single homed hosts)
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects					 # don't send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route			 # don't accept packets with SRR option
# запрещаем все
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
# drop Bad Guys
/sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP
# drop unwanted services
/sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP
/sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP
# accept everything from loopback
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# disable ping
/sbin/iptables -A INPUT -p icmp -j DROP
# internet (established and out)
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# открываем порт логина 2106
/sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT
# закрываем порт гейм сервера 7777
/sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP
###
# прочие разрешения
## коннект к БД, порт 3306
# запрет для всех остальных
/sbin/iptables -I INPUT -p tcp --dport 3306 -j DROP
# разрешить следующим IP
iptables -I INPUT -p tcp -s ВАШ_IP --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s IP_САЙТА --dport 3306 -j ACCEPT
iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
## коннект к SSH, порт 22
# запрет для всех остальных
/sbin/iptables -I INPUT -p tcp --dport 22 -j DROP
# разрешить следующим IP
/sbin/iptables -I INPUT -p tcp --dport 22 -s ВАШ_IP -j ACCEPT

После команд

# запрещаем все
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

Доступ к серверу будет ограничен. Эти команды можно вводить только через внутренний скрипт. Иначе при выполнении этого кода, заблокируются все соединения и сбросить их можно будет только в Recovery Mode.

 

Ах, главное... Бросайте копипастить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...