Iptables помогите ребята

делал навскидку, без чтения доков, по памяти (долго с iptables не работал)

в любом случае сразу видно куда копать

iptaables-A INPUT -p tcp -s providermask -d yourip --dport 22 -j allowed

iptables -A INPUT -p tcp -m multiport --dports 80,8080 -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports 80,8080 -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --sports 80,8080 -j ACCEPT

iptables -A OUTPUT -p udp -m multiport --sports 80,8080 -j ACCEPT

1) для ssh достаточно сменить порт в файле sshd.conf и перезапустить sshd

2) кроме 80 и 8080 нужно еще открывать 53 для named например. Плюс еще для панели нужно открывать порт, для почты и т.д. Такчто...

да и для того же ssh :-)

able добавил 12.04.2009 в 11:25

KosoyRoman, вообще, посмотрите по netstat -a какие порты вам нужны (ну или nmap'ом) и от этого списка уже отталкивайтесь.

нужны только

53 8080 80 для паблика

для меня 21 22

чтоб больше ничего не было открытого )

iptables -A INPUT -p tcp -s providermask -d yourip --dport 21:22 -j allowed

iptables -A INPUT -p tcp -m multiport --dports 53,80,8080 -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports 53,80,8080 -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --sports 53,80,8080 -j ACCEPT

iptables -A OUTPUT -p udp -m multiport --sports 53,80,8080 -j ACCEPT

примерно так

лучше поставьте нормальный пароль. у всех перебирают пароли и ничего страшного не происходит.

ваши советчики уже упустили запрет остальных соединений и специфику работы протокола ftp.

А зачем использовать правила с OUTPUT, наверное, это лишнее. Сервер пусть отвечает с любых портов, а входящие запросы разрешены только на 21,22,53,80,8080.

В первой строке -j allowed нужно -j ACCEPT.

Дополнительно, можно запретить вход в систему root. Вход в систему производить обычным пользователем, потом su или sudo. Это для SSH.

Для SFTP иногда неудобно (приходится помнить о правах доступа). Но зато попытки брутфорса становятся бесполезны.

Поставьте http://www.vuurmuur.org/ - всё равно руками, без знаний iptables и опыта, ничего хорошего не получится.

Pilat добавил 12.04.2009 в 14:52

Чтобы попытки брутфорса стали бесполезными, пароль вообще убирают и пользуются авторизацией по ключу.

Простите за ламерский вопрос, но где эти логи посмотреть можно?

/var/log/auth.log

Пример

Apr 12 14:28:42 www sshd[2859]: Failed password for root from 213.180.204.16 port 4611 ssh2

Apr 12 14:28:42 www sshd[2859]: Failed password for root from 213.180.204.16 port 4611 ssh2

Apr 12 14:28:43 www sshd[2859]: Failed password for root from 213.180.204.16 port 4611 ssh2

Apr 12 14:28:46 www sshd[2859]: Failed password for root from 213.180.204.16 port 4611 ssh2

Apr 12 14:28:46 www sshd[2859]: PAM 3 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=213.180.204.16  user=root