Интернет-шлюз, vpn-маршрутизатор на базе Ubuntu. Как не дать себя сломать?

[vselax]

Для дома fail2ban хорош, но для организации я бы задумался, ведь имея серый ip можно легко оказаться в забаненой сети целого провайдера. Хотя, по-моему это не ваш случай. Для дома у меня fail2ban и несколько правил для iptables. Брутфорсят регулярно. Порты не менял. Вот уже несколько лет полет нормальный. В первую очередь правильно настрой самбу и купс, чтоб не светильсь куда не надо, потом ftp, ssh и т. п. чтобы безопасно было пользоваться ими через интернет. В частности, для пользователей с разрешенным доступом к ftp, хорошо бы запретить ssh, ведь пароль можно подсмотреть. Для FTP и HTTP серверов запретить выход за пределы отведенных им каталогов. Имея PHP, подумать о том, что могут наворотить евойные скрипты. Вот, в общем, кажется, это все нужно сделать в первую очередь. А SSH, при хорошем пароле, будут ломать долго и в логах будет много написано по этому поводу. 

[ArcFi]

В первую очередь правильно настрой самбу и купс, чтоб не светильсь куда не надо

Вообще-то, очевидно, что надо делать "iptables -P INPUT DROP" или аналогичное правило, а доступ к части сервисов разрешать исключительно во внутренние доверенные сети.

А SSH, при хорошем пароле...

Рекомендую почитать про "SSH Public Key Authentication".

[vselax]

Рекомендую почитать про "SSH Public Key Authentication".

Смотрел такую штуку, но решил не заморачиваться. Надежно, но не всегда удобно.

а доступ к части сервисов разрешать исключительно во внутренние доверенные сети

А некоторые приходиться и наружу. 
Пользователь решил продолжить мысль 31 Мая 2013, 12:55:59:

iptables -P INPUT DROP

Кстати, как потом FTP пашет, нормально? Дополнительно ничего настраивать не приходится? Раньше вроде с этим траблы были.

[Capture]

А мне нравятся фортифицированные сооружения, и считаю, что здоровая паранойя весьма полезна. %)

+1
ща вот каникулы летние начнутся, и появится много скучающей школоты юной поросли