grolius 8 Опубликовано 22 апреля, 2013 как правильно настроить табу чтобы самому себе не заблокировать доступ и пользователям? вот пример что тут лишнее и что добавить? /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F # other network protection echo 1 > /proc/sys/net/ipv4/tcp_syncookies # enable syn cookies (prevent against the common 'syn flood attack') echo 0 > /proc/sys/net/ipv4/ip_forward # disable Packet forwarning between interfaces echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # ignore all ICMP ECHO and TIMESTAMP requests sent to it via broadcast/multicast echo 1 > /proc/sys/net/ipv4/conf/all/log_martians # log packets with impossible addresses to kernel log echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # disable logging of bogus responses to broadcast frames echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter # do source validation by reversed path (Recommended option for single homed hosts) echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects # don't send redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route # don't accept packets with SRR option /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP /sbin/iptables -A INPUT -m recent --rcheck --seconds 60 -m limit --limit 10/second -j DROP /sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP /sbin/iptables -A INPUT -m multiport -p tcp --dports 25,110,111,119,143,465,563,587,993,995 -j DROP /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT /sbin/iptables -A INPUT -p icmp -j DROP # internet (established and out) /sbin/iptables -A OUTPUT -o eth0 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT # закрываем порт гейм сервера 7777 /sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP /sbin/iptables -I INPUT -p tcp --dport 3306 -j DROP iptables -I INPUT -p tcp -s ВАШ_IP --dport 3306 -j ACCEPT iptables -I INPUT -p tcp -s IP_САЙТА --dport 3306 -j ACCEPT iptables -I INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT /sbin/iptables -I INPUT -p tcp --dport 22 -j DROP /sbin/iptables -I INPUT -p tcp --dport 22 -s ВАШ_IP -j ACCEPT Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
la2-play 10 Опубликовано 22 апреля, 2013 /sbin/iptables -I INPUT -p tcp --dport 22 -s ВАШ_IP -j ACCEPT тут укажы IP с которого конектишься на ssh iptables -I INPUT -p tcp -s ВАШ_IP --dport 3306 -j ACCEPT свой IP c которого будешь заходить на базу iptables -I INPUT -p tcp -s IP_САЙТА --dport 3306 -j ACCEPT тут IP сайт /sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP эту строчку можешь удалить если не используешь допонительную зашиту Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
grolius 8 Опубликовано 22 апреля, 2013 sbin/iptables -I INPUT -p tcp --dport 2106 -j ACCEPT # закрываем порт гейм сервера 7777 /sbin/iptables -A INPUT -p tcp --dport 7777 -j DROP /sbin/iptables -I INPUT -p tcp --dport 3306 -j DROP а вот с этим че делать закрою то не смогут конектится? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Massonian 51 Опубликовано 22 апреля, 2013 походу так Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
grolius 8 Опубликовано 22 апреля, 2013 ктонибудь приведет привер iptables с нормальными правилами? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
