- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Для нового сервера хочу закрыть все порты, кроме необходимых для работы.
Порты:
80
8080 (временно, после отладки стоит закрыть)
443 (открыт, но https пока не работает)
17777 (сменил c 22 для ssh)
14949 (сменил с 4949 для munin)
Получать/отправлять почту пока не планирую.
Все ли верно?
iptables-save
*mangle
:PREROUTING ACCEPT [7077:792298]
:INPUT ACCEPT [7077:792298]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6763:6453898]
:POSTROUTING ACCEPT [6763:6453898]
COMMIT
*nat
:PREROUTING ACCEPT [211:13743]
:INPUT ACCEPT [49:2564]
:OUTPUT ACCEPT [14:841]
:POSTROUTING ACCEPT [14:841]
COMMIT
*filter
:INPUT DROP [167:12431]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 14949 -m state --state NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 17777 -m state --state NEW -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
COMMIT
iptables.log
Feb 20 23:54:00 server kernel: [39670.301653] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=89.202.*.16 DST=1.1.1.1 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=61194 DF PROTO=TCP SPT=8302 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
Feb 20 23:55:24 server kernel: [39754.569228] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=187.201.*.200 DST=2.2.2.2 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=30705 PROTO=TCP SPT=27481 DPT=23 WINDOW=26023 RES=0x00 SYN URGP=0
Feb 20 23:56:00 server kernel: [39789.994029] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=114.35.*.82 DST=1.1.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=43 ID=44113 PROTO=TCP SPT=65041 DPT=23 WINDOW=11256 RES=0x00 SYN URGP=0
Feb 20 23:56:55 server kernel: [39845.067225] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=220.132.*.166 DST=1.1.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=13342 PROTO=TCP SPT=16502 DPT=23 WINDOW=46494 RES=0x00 SYN URGP=0
Feb 20 23:57:00 server kernel: [39850.166346] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=191.37.*.165 DST=2.2.2.2 LEN=44 TOS=0x00 PREC=0x00 TTL=240 ID=57488 PROTO=TCP SPT=30227 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
Feb 20 23:57:45 server kernel: [39894.777681] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=91.228.*.89 DST=1.1.1.1 LEN=44 TOS=0x00 PREC=0x00 TTL=53 ID=61604 PROTO=TCP SPT=60000 DPT=23 WINDOW=9103 RES=0x00 SYN URGP=0
Feb 20 23:57:59 server kernel: [39908.866198] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=111.91.*.74 DST=1.1.1.1 LEN=122 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=27375 DPT=1900 LEN=102
Feb 21 00:10:24 server kernel: [40653.247522] iptables denied: IN=eth0 OUT= MAC=mac:mac SRC=218.31.*.81 DST=1.1.1.1 LEN=96 TOS=0x00 PREC=0x00 TTL=51 ID=42288 PROTO=ICMP TYPE=3 CODE=10 [SRC=1.1.1.1 DST=218.31.*.81 LEN=68 TOS=0x00 PREC=0x00 TTL=241 ID=25148 DF PROTO=UDP SPT=60201 DPT=53 LEN=48 ]
duplicate:
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Могут ли быть проблемы при закрытии udp?
Может udp нужен каким сервисам ОС?
---------- Добавлено 21.02.2017 в 01:38 ----------
Оптимизайка, спасибо, поправил. А в целом?
А в целом?
OK.
N.B. IPv6
Добавление:
iptables -t raw -A PREROUTING -j NOTRACK
iptables -t raw -A OUTPUT -j NOTRACK
привело к полному зависанию.
Для нового сервера хочу закрыть все порты, кроме необходимых для работы.
Порты:
80
8080 (временно, после отладки стоит закрыть)
443 (открыт, но https пока не работает)
17777 (сменил c 22 для ssh)
14949 (сменил с 4949 для munin)
Получать/отправлять почту пока не планирую.
Dimka, а вы подумайте над другой идеей: вместо того, что бы закрывать "все кроме", возможно, лучше не запускать службы, которые слушают не используемые порты?
Напимер:
- 25 - почта, не используете, почтарь не запускаем;
- 8080 - апач, хотите что бы был недоступен с внешнего мира, пересадите службу с внешнего интерфейста, на localhost;
- 3306 - доступ к мускулу с внешнего мира не нужен, говорим ему "skip-networking".
То есть, если у Вас никто не будет слушать неиспользуемые порты, отпадет необходимость их закрывать.
---
Виктор
лучше не запускать службы, которые слушают не используемые порты?
Не особо запущено:
netstat -ntulp
Могут ли быть проблемы при закрытии udp?
Ну, как минимум DNS и NTP (когда сервер действует как клиент).
Добавление:
iptables -t raw -A PREROUTING -j NOTRACK
iptables -t raw -A OUTPUT -j NOTRACK
привело к полному зависанию.
NOTRACK запрещает добавление записей в таблицу conntrack, у вас там в правилах фигурирует state, которому нужны эти состояния.
P.S. Если TCP порт никто не слушает, и на него пытаются открыть соединение, система просто отправит RST в ответ, а при DROP в правилах, такие пакеты проигнорируются, вот и вся разница.
Какой-то сферической безопасности в вакууме эти правила не добавят.