Ovh И Iptables

[VoK 0]

Здравствуйте!

Купил VPS у OVH.com , вот задался вопросом, нужны ли дополнительно iptables или ovh все отразит без "моей помощи".

Если да, то вот мой iptables, мб стоит что-то убрать или добавить ?

#!/bin/sh
MODPROBE=/sbin/modprobe

# Очищаем правила
iptables -F
iptables -X

# Разрешаем SSH
iptables -A INPUT -i eth0 -p tcp --dport 1443 -j ACCEPT

# Назначение глобальных политик
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# Загружаем модули, погнали:
# Модуль для отслеживания состояния соединений
$MODPROBE nf_conntrack
# Модуль для отслеживания по ipv4, ipv6 пока не используем
$MODPROBE nf_conntrack_ipv4

# Изменение параметров SYSCTL
# Увеличение размера очередей
echo 32000000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
# Время ожидания до закрытия соединения
echo 14400 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
# Время ожидания до посылки FIN пакета
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
# Время ожидания до посылки FIN пакета
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
# Для защиты от syn флуда
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Увеличиваем размер backlog очереди
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# Число начальных SYN и SYNACK пересылок для TCP соединения
echo 4 > /proc/sys/net/ipv4/tcp_synack_retries
echo 4 > /proc/sys/net/ipv4/tcp_syn_retries
#Сколько секунд ожидать приема FIN до полного закрытия сокета
echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
# Как часто посылать сообщение о поддержании keep alive соединения
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
# Сколько пакетов проверки keepalive посылать, прежде чем соединение будет закрыто.
echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes
# Зaпрещаем TCP window scaling
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
# Запрещаем selective acknowledgements, RFC2018
echo 0 > /proc/sys/net/ipv4/tcp_sack
# Запрещаем TCP timestamps, RFC1323
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
# Уличиваем размер буфера для приема и отправки данных через сокеты.
echo 1048576 > /proc/sys/net/core/rmem_max
echo 1048576 > /proc/sys/net/core/rmem_default
echo 1048576 > /proc/sys/net/core/wmem_max
echo 1048576 > /proc/sys/net/core/wmem_default
# Через какое время убивать соединеие закрытое на нашей стороне
echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries

# Защита от скана #
# Silently Drop Stealth Scans
# All of the bits are cleared
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# SYN and FIN are both set
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# SYN and RST are both set
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# FIN and RST are both set
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
# FIN is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

# Уже установленные соединения и соединения, порожденные установленными принимаем
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Блокируем людей, которые постучались на левые порты
iptables -N scan
iptables -A scan -m recent --rcheck --name badscan --seconds 86400 -j DROP
iptables -A scan -m recent --name badscan --remove
iptables -A scan -p tcp -m multiport --dport 139,445 -m recent --name badscan --set -j DROP
iptables -A INPUT -i eth0 -j scan

iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP

# Разрешаем петлю
iptables -A INPUT -i lo -j ACCEPT
# DNS  - АТАКА ПО НИМ:
iptables -A INPUT -p UDP -j DROP
iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j DROP
iptables -A INPUT -i eth0 -p tcp --sport 53 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 53 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 53 -j DROP

# Открываем порты
# FTP
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
# SMTP
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
# HTTP и защита от множественных запросов.
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 80 -m limit --limit 100/sec --limit-burst 100  -j ACCEPT
# Proftpd (порты для пассивного режима)
iptables -A INPUT -i eth0 -p tcp --dport 49152 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 49153 -j ACCEPT
# Мои порты
iptables -A INPUT -i eth0 -p tcp --dport 7777 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 2106 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5938 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5939 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

# ICMP
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 6 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 6 -j ACCEPT

[Meeero 38]

Это все поможет, только если VPS не OpenVZ.

Если OpenVZ то правила sysctl вообще нормально не сработают.

А все остальное - без толку. (для VPS)

Изменено 5 октября, 2014 пользователем Meeero

[mcwa 295]

Много что убрать и добавить надо

[mcwa 295]

Это все поможет, только если VPS не OpenVZ.

Если OpenVZ то правила sysctl вообще нормально не сработают.

А все остальное - без толку. (для VPS)

Это да, там OpenVZ, эта виртуализация та еще фигня)

[Meeero 38]

Это да, там OpenVZ, эта виртуализация та еще фигня)

Там есть KVM.

На KVM ядро редактируемое.

Но все равно. Много чего зависит от ноды.

[rooti 764]

Использую vps для старта 100-150 человек.

Не бойся за DDoS

ничего не ставлю, вообще ничего

 

а за защитой лезь ко мне в подпись

[VoK 0]

Спасибо за ответы!

 

Это все поможет, только если VPS не OpenVZ.

Если OpenVZ то правила sysctl вообще нормально не сработают.

А все остальное - без толку. (для VPS)

При заказе указана виртуализация:

64 Bits

OpenVZ

 

 

Много что убрать и добавить надо

Можно подробнее ?)

Использую vps для старта 100-150 человек.

Не бойся за DDoS

ничего не ставлю, вообще ничего

 

а за защитой лезь ко мне в подпись

Я рассчитываю на онлайн 300-500 (если все удачно будет).

Есть горький опыт, когда онлайн был 200 - задавили ддосами... не хотелось бы в те же грабли.

Изменено 5 октября, 2014 пользователем VoK

[VoK 0]

Получается, что овх не гарантирует защиту от атак? У кого был опыт атак на впс овх ?

Каким софтом можно проверить сервер на стрессоустойчивость ? (нашел L2 attacker, но думаю слишком простой)

Мне бы проверить UPD или SYN.

[rooti 764]

Получается, что овх не гарантирует защиту от атак? У кого был опыт атак на впс овх ?

Каким софтом можно проверить сервер на стрессоустойчивость ? (нашел L2 attacker, но думаю слишком простой)

Мне бы проверить UPD или SYN.

 

Убивали vps, падают в black hole и все, забудь о данных и vps

Изменено 6 октября, 2014 пользователем rooti

[sharp1k 321]

Получается, что овх не гарантирует защиту от атак? У кого был опыт атак на впс овх ?

Каким софтом можно проверить сервер на стрессоустойчивость ? (нашел L2 attacker, но думаю слишком простой)

Мне бы проверить UPD или SYN.

Если бить из сети овх - SYN пропускает

[localhost 715]

Использую vps для старта 100-150 человек.

Не бойся за DDoS

ничего не ставлю, вообще ничего

 

а за защитой лезь ко мне в подпись

плюсую, так же делаю