Закрыть все порты, кроме...

[fisher74]

Мне иногда надоедает уговаривать людей развиваться
Вот ответ на Ваш вопрос.

Код: [Выделить]

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p tcp -m conntrack --ctstate NEW -m multiport --dports 21,80 -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p udp --sport 27005 -p udp --dport 27018 -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p udp --sport 27006 -p udp --dport 27018 -j ACCEPT
sudo iptables -P INPUT DROP
P.S. для нормальной работы по 21 порту нужно ещё кое-что, но это я оставляю, как зёрнышко для ростка..

[Усики]

я так понимаю udp еще нужно.. чтоб была возможность загрузки НА северер?
Пользователь решил продолжить мысль 26 Марта 2014, 13:27:07:iptables v1.4.18: unknown option "--sport"
ругеться на вводе sudo iptables -A INPUT -i ppp+ --sport 27005 -p udp --dport 27018 -j ACCEPT

[fisher74]

я так понимаю udp еще нужно.. чтоб была возможность загрузки НА северер?

Эммм... Судя по всему Вы далеки от понимания различия между протоколами tcp и udp

ругеться на вводе

да, писалось под контролем одного глаза,потому пропустил параметр

sudo iptables -A INPUT -i ppp+ -p udp --sport 27005 -p udp --dport 27018 -j ACCEPT

Пользователь решил продолжить мысль 26 Марта 2014, 14:02:52:выше тоже исправил

[alexlubuntu]

Можно еще один вопрос в продолжение темы?
Если кто-то представляет файрвол для винды - нужна программа которая, видит весь трафик, порты, и программы, которые их используют (в реальном времени).
Чтоб я мог блокировать и разрешать тем или иным программам доступ в есть.
Есть такое для убунты? желательно с ГУИ. 

[fisher74]

Вопрос можно. Ответ - НЕТ. По крайней мере я таких не знаю.
netfilter работает на уровне сетевых пакетов и ему (в общем случае) фиолетово какой процесс его инициировал.
В Windows это делается просто за счёт глубокой интеграции гуёв в ядро.
GUI для управления правилами netfilter, конечно, есть. Есть и достойные внимания новичков. Но гибкость управления, конечно, весьма и весьма далека от совершенства.

[Karl500]

По блокированию процессов (программ) - в (не очень) ближайшем будущем ожидается нужный функционал у apparmor версии 3.0. По описанию - вполне юзабельный, однако в настоящее время, насколько знаю, он только в разработке: http://wiki.apparmor.net/index.php/ProfileLanguage#Network_rules

Точнее, нужный функционал есть и сейчас, однако недостаточно гибкий (по крайней мере, для меня): сейчас нельзя ограничивать доступ по адресам/портам: максимум по протоколам.

[Усики]

Скажите пожалуйста таким образом я закрою ВСЕ порты (чтоб через них не могла дойти Дос от школьников), кроме 80,21;

Код: [Выделить]

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i ppp+ -p tcp -m conntrack --ctstate NEW -m multiport --dports 21,80 -j ACCEPT
sudo iptables -P INPUT DROP
Верно?

[fisher74]

Закроет ДА, а DOS - нет, так как последствия DOS от реакции Вашего netfilter не зависит.

[Усики]

Код: [Выделить]

root@194:/# sudo iptables -A INPUT -i ppp+ -p udp --sport 27005 -p udp --dport 27018 -j ACCEPT
iptables v1.4.21: multiple -p flags not allowed
Try `iptables -h' or 'iptables --help' for more information.

почему не хочет?

[ArcFi]

Naykon,

multiple -p flags not allowed

[Slawa1969]

fisher74,
Грубоват и самоуверен господин. Когда не знаете ответ --- это не значит, что ответ не существует.

 
/sbin/iptables -A INPUT -p tcp --destination-port {PORT-NUMBER-HERE} -j DROP
 
### interface section use eth1 ###
/sbin/iptables -A INPUT -i eth1 -p tcp --destination-port {PORT-NUMBER-HERE} -j DROP
 
### only drop port for given IP or Subnet ##
/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP-ADDRESS-HERE} -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {PORT-NUMBER-HERE} -s {IP/SUBNET-HERE} -j DROP

[fisher74]

Ну да, пришёл Slawa1969 и разрушил весь мой злодейский замысел.
Правда, если вникнуть в суть проблемы, то эти правила, конечно, дропнут пакеты на указанный порт. Но если их будет слишком много, чем и характеризуется DOS, то ядро только и будет делать, что заниматься этим. Полезный трафик будет стоять в стороне и ждать, чего и добивался атакующий.

[alexxnight]

Вставлю наблюдения из своего опыта:
попытка фильтровать (D)DOS в таблице filter обречено на провал, как написал выше fisher74
нужно "отсеивать" "плохие" пакеты раньше и как можно раньше, но засада в том, что рекомендуется дропать пакеты в таблице filter...

Есть над чем подумать...

[fisher74]

Я не писал, что это провально в таблице filter. Это провально на любом уровне соединения со стороны клиента провайдера, так как запросами соединения забивается не только netfilter, но и сам канал.
Самая лучшая борьба с DDoS - на стороне провайдера.
Кстати, неделю назад была статейка на хабре. Рекламой, конечно, воняет в каждой строке статьи, но зато описаны основные проблемы с которыми сталкивается атакуемый.

[alexxnight]

Я не писал, что это провально в таблице filter.

Поясню, что я хотел сказать.
По правилам программирования netfilter (которые разработчики настоятельно рекомендуют), применять DROP нужно в таблице filter.
Хотя, практически можно сделать это, например, в mangle или raw...
Если пакет "плохой", то прежде, чем его дропнут по правилам в filter, он пройдет таблицы raw, mangle, nat. А это ресурсы сервера...

А статья действительно рекламная