Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: нужен хелп по iptables  (Прочитано 403 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tork

  • Автор темы
  • Новичок
  • *
  • Сообщений: 29
    • Просмотр профиля
нужен хелп по iptables
« : 18 Октября 2012, 23:22:40 »
Доброго времени суток.
Сабж, ищу человека который разбираеться как грамотно написать правила для защиты выделеного сервера и ограничением на количество запросов на 1 порт.
Или проконсультируйте по её настройке.
По даной части я полный 0.
В даный момент имеются праивла, следующего содержания:

Код: [Выделить]
# Generated by iptables-save v1.4.12 on Sat Sep  1 17:45:48 2012
*nat
:PREROUTING ACCEPT [106:13764]
:INPUT ACCEPT [74:9988]
:OUTPUT ACCEPT [117:7029]
:POSTROUTING ACCEPT [117:7029]
COMMIT
# Completed on Sat Sep  1 17:45:48 2012
# Generated by iptables-save v1.4.12 on Sat Sep  1 17:45:48 2012
*mangle
:PREROUTING ACCEPT [606:51746]
:INPUT ACCEPT [574:47970]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [457:74089]
:POSTROUTING ACCEPT [457:74089]
COMMIT
# Completed on Sat Sep  1 17:45:48 2012
# Generated by iptables-save v1.4.12 on Sat Sep  1 17:45:48 2012
*filter
:INPUT ACCEPT [574:47970]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [457:74089]
# разрешаем принимать локальный трафик
-A INPUT -i lo -j ACCEPT
# поддерживаем соединения
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# открываем  порт
-A INPUT -p tcp -m tcp --dport 29000 -j ACCEPT
# открываем порт mysql
-A INPUT -p tcp -m tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp -s IP хостинга с регистрацией --dport 3306 -j ACCEPT

-A INPUT -p tcp -m tcp -s мой IP --dport 8080 -j ACCEPT

-A INPUT -p tcp -m tcp -s мой IP --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp -s мой IP --dport 22 -j ACCEPT

-A INPUT -p tcp -m tcp -s мой IP --dport 10000 -j ACCEPT

-A INPUT -p tcp -m tcp -s мой IP --dport 1595 -j ACCEPT
# разрешаем исходящие
-A OUTPUT -j ACCEPT
# разрешаем перенаправленые
-A FORWARD -j ACCEPT
# закрываем полностью всё
-A INPUT -j DROP
COMMIT
# Completed on Sat Sep  1 17:45:48 2012

к данным правилам надо добавить Ограничение на количество 30 пакетов в секунду на порт 29000, и если данное количество будет превышать, что бы айпи уходил в бан на 1 час.

Так же может быть добавить альтернативные правила, для избежания атак на сервер.

На сервере используеться только один порт 29000. Все остальное как видите ограничено по айпи.

Если есть добрые люди, то приводите пример внутри с теми правилами что я скинул.

Оффлайн xeon_greg

  • Активист
  • *
  • Сообщений: 981
    • Просмотр профиля
Re: нужен хелп по iptables
« Ответ #1 : 18 Октября 2012, 23:31:49 »
Цитировать
Ограничение на количество 30 пакетов в секунду на порт 29000, и если данное количество будет превышать, что бы айпи уходил в бан на 1 час.
читай мануал по модулям recent и hashlimit для iptables, с ними это все рализуемо
« Последнее редактирование: 18 Октября 2012, 23:33:26 от xeon_greg »
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.019 секунд. Запросов: 22.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.