iptables какие правила лучше

[aviacliff]

ВАРИАНТ 1
По ссылке
http://rus-linux.net/MyLDP/BOOKS/redhatsec/glava07.htm
имеем, чтобы закрыть некоторые уязвимости

Код: [Выделить]

# SPOOFING & BAD ADDRESSES
# Отбрасывание spoofed-пакетов.
# Блокирование пакетов от явно неправильных адресов.
# Защита самого себя от посылки плохих адресов.
# Блокирование обманных пакетов, посланных как бы от Вашего внешнего адреса.
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $IPADDR -j DROP
# Блокирование пакетов как бы от или к приватной сети класса A
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $CLASS_A -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d $CLASS_A -j DROP
iptables -A OUTPUT -i $EXTERNAL_INTERFACE -s $CLASS_A -j REJECT -l
iptables -A OUTPUT -i $EXTERNAL_INTERFACE -d $CLASS_A -j REJECT -l
# Блокирование пакетов как бы от или к приватной сети класса B
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $CLASS_B -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d $CLASS_B -j DROP
iptables -A OUTPUT -i $EXTERNAL_INTERFACE -s $CLASS_B -j REJECT -l
iptables -A OUTPUT -i $EXTERNAL_INTERFACE -d $CLASS_B -j REJECT -l
# Блокирование пакетов как бы от или к приватной сети класса C
# iptables -A INPUT -i $EXTERNAL_INTERFACE -s $CLASS_C -j DROP
# iptables -A INPUT -i $EXTERNAL_INTERFACE -d $CLASS_C -j DROP
# iptables -A OUTPUT -i $EXTERNAL_INTERFACE -s $CLASS_C -j REJECT -l
# iptables -A OUTPUT -i $EXTERNAL_INTERFACE -d $CLASS_C -j REJECT -l
# Блокирование пакетов как бы от loopback-интерфейса
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $LOOPBACK -j DROP
ipchains -A OUTPUT -i $EXTERNAL_INTERFACE -s $LOOPBACK -j REJECT -l
# Блокирование пакетов от широковещательных адресов
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $BROADCAST_DEST -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d $BROADCAST_SRC -j DROP
# Блокирование широковещательных адресов класса D (NET-3-HOWTO)
# Широковещательный (Multicast) адрес это неправильный адрес источника.
# Multicast использует UDP.
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $CLASS_D_MULTICAST -j DROP
# Блокирование зарезервированных IP-адресов класса E
iptables -A INPUT -i $EXTERNAL_INTERFACE -s $CLASS_E_RESERVED_NET -j DROP


ВАРИАНТ 2
Весьма элегантный способ
Пускаем к себе на внешний интерфейс только один IP адрес

Код: [Выделить]

$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE ! --destination $IPADDR -j DROP
Вопрос: как лучше прописать в правилах iptables только вариант1 или вариант1 + вариант2

[ArcFi]

Лучше белым списком и через iptables-save / iptables-restore.

[aviacliff]

Я не спрашиваю каким способом прописывать правила, а какие конкретно правила лучше использовать?

Я лично так думаю: писать нужно бльше и конкретнее, а система и дальнейшая отладка все покажут!

[ArcFi]

По-моему, это изврат какой-то.
Для каждой цепочки из filter достаточно одного завершающего правила/политики на REJECT.

[aviacliff]

Какой может быть изврат в том, что при открытии например порта 22 вы добавите IP адрес той машины от которой идет запрос.
Пока не прописал запреты на широковещательные запросы компьютер подпрыгивал от ff:ff:ff:ff:ff
Какой изврат, если вы пропишете открытие порта 22 по стуку.
А это не одна и не две строчки.

[ArcFi]

Уж не знаю чего вы хотите добиться, но способы, явно, какие-то странные.
Откуда взяться broadcast-трафику — непонятно.
Port-knocking, вообще, с потолка, в хэдпосте про него ничего нет.

[aviacliff]

Я просто переворошил много информации по iptables-м и на данный момент просто мысли путаются. По какому пути лучше пойти. Все базовые статьи брал с вашего сайта.

[ArcFi]

Предлагаю за основу взять костяк типа такого:

(Нажмите, чтобы показать/скрыть)

Код: (bash) [Выделить]

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
#-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -p icmp -j ACCEPT
#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

А затем, отталкиваясь от поставленных задач, осмысленно дописать нужные правила.

[aviacliff]

Спасибо!

[Alligatоr]

Политику лучше "что не разрешено - то запрещено". Например так:
iptables -P INPUT DROP
iptables -A INPUT -p tcp -m multiport --dports <список разрешённых портов через запятую> -j ACCEPT
iptables -I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

[fisher74]

Только вот последнюю строку лучше первой в цепочке выставить.

[Alligatоr]

Только вот последнюю строку лучше первой в цепочке выставить.

Может и лучше, но не обязательно.

[fisher74]

Лучше тем, что пакеты установленных соединений, коих обычно много больше иных, не проходят всю цепочку, а терминируются на первом же правиле. Это даёт снижение нагрузки на ядро.