Вопрос к Гуру по настройке Брандмауэра

[Cid81]

Добрый день Уважаемые!
Нужен Ваш совет недалече как Нужда заставила настроить Брандмауэр "iptables".
После пары дней изучения документации и "шараханья" по форумам нашел интересную на мой взгляд статью про первую линию обороны.

"Но что-то пошло не так" ткните пальцем, если не трудно.
"Железный сервер" находится далеко от меня, нет права на ошибку.

Чувствую что дело в iptables -P INPUT DROP или iptables -F  но не уверен.

Благодарю за любую помощь!

[𝓝𝓲𝓻𝓭]

А чем помочь та? Что пошло не так? Если у вас пропал доступ к серваку, то как минимум его нужно перезагрузить. Настройки iptables не сохраняются автоматически.

[Cid81]

В данный момент я с сервером на удаленке, ближайшую неделю перезагрузить некому.

Просьба проверить правила и если есть ошибка ткнуть пальцем.
В линуксе не давно, Кубатурить над документацией нужно неспеша, а правила в брандмауэр нужны как говорится "еще вчера".
Вот собственно и прошу помощи.
 
после ввода всех правил стоит ли делать iptables -F и iptables -P INPUT DROP.
Не потеряю ли доступ к серверу?

[𝓝𝓲𝓻𝓭]

Просьба проверить правила и если есть ошибка ткнуть пальцем.

А где сами правила та?

Код: [Выделить]

iptables -FЧистит таблицу

Код: [Выделить]

iptables -P INPUT DROPЗапрещает входящие соединения по умолчанию. Т.е. будет запрещено все, что не разрешено.
Пользователь добавил сообщение 04 Декабря 2020, 16:22:50:Не увидел вложение ^_^

[Cid81]

Я прекрепил файл "первая_линия_обороны.txt (4.49 кБ - загружено 3 раз.)"

Код: [Выделить]

outif="eth0"
iptables -F  очистка всех правил (не на удаленке!)
iptables -i $outif -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -i $outif -A INPUT -p tcp --dport 80 -j ACCEPT разрешить 80 порт
iptables -i $outif -A INPUT -p tcp --dport 443 -j ACCEPT разрешить 443 порт
iptables -i $outif -A INPUT -p tcp --dport 22 -j ACCEPT разрешить 12321 порт
iptables -i $outif -A INPUT -p tcp -m tcp -j TARPIT
iptables -t raw -I PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -t raw -I PREROUTING -p tcp --dport 443 -j NOTRACK
iptables -t raw -I PREROUTING -p tcp --dport 22 -j NOTRACK
iptables -i $outif -P INPUT DROP запретить всё входящие кроме 80, 443, 22 порта
iptables -i $outif -P OUTPUT ACCEPT разрешить все исходящие

iptables -N brute_check Цепочка для проверки соединений
iptables -A brute_check -m recent --update --seconds 60 --hitcount 3 -j DROP Блокировка адреса, если за 60 секунд он инициировал более 2-х соединений
iptables -A brute_check -m recent --set -j ACCEPT Если нет — разрешаем соединение и заносим адрес в список
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j brute_check Отправляем в цепочку brute_check всех, кто пытается подключиться к 22-му порту

iptables -A INPUT -p icmp -icmp-type 3,8,12 -j ACCEPT
iptables -A OUTPUT -p icmp -icmp-type 0,3,4,11,12 -j ACCEPT

iptables -A INPUT -m recent --rcheck --seconds 3600 --hitcount 10 --rttl -j RETURN Проверка на стук в нерабочие порты (10 в час)
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 2 --rttl -j RETURN Вторая проверка на стук в нерабочие порты (2 в минуту)
iptables -A INPUT -m recent --set Заносим адреса стучащихся в список
iptables -P INPUT -j DROP

iptables -I INPUT -p tcp -m osf --genre NMAP -j DROP Метод пассивного определения ОС позволяет идентифицировать эти пакеты и отбросить их

iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP Запрет FIN-сканирования
iptables -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP Запрет X-сканирования
iptables -A INPUT –p tcp –m tcp –-tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP Запрет N-сканирования

iptables и port knocking
iptables -N knock Цепочка для проверки соединений на защищаемый порт
iptables -A knock -m recent --rcheck --seconds 10 -j ACCEPT Разрешаем соединение, если стук был в течение последних 10 секунд
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Разрешаем все, что относится к уже установленным соединениям
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j knock Все попытки открыть соединение с 22-м портом отправляем на проверку в цепочку knock
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 27520 -m recent --set Заносим адрес стучащегося в 27520-й порт в список
iptables -A INPUT -m conntrack --ctstate NEW -p tcp -m multiport --dport 27519,27521 -m recent --remove При стуке в соседние порты удаляем адрес из списка

iptables -F 
iptables -P INPUT DROP Запрещаем все остольное

сохраняет все изменения в правилах и выводит их в терминал
iptables-save

[AnrDaemon]

Вывод iptables-save показывайте.
Пользователь добавил сообщение 04 Декабря 2020, 18:49:09:

сохраняет все изменения в правилах и выводит их в терминал

Неверно. iptables-save только выводит правила в терминал.

[AlexDem]

"Но что-то пошло не так" ткните пальцем, если не трудно.

А в чем, собсвенно проблема, и, как следствие, задача? Если в 2х словах?

[Cid81]

имеется два сервера
Первый железный сервер DELL PE 1950, Debian 10, LAMP тащит Веб скаду (система телемеханики) находится на удаленке (200км от меня), не обслуживаемый объект. в данный момент iptables по умолчанию:

Код: [Выделить]

iptables -I INPUT 1 -j ACCEPT
iptables -I OUTPUT 1 -j ACCEPT
iptables -I FORWARD 1 -j ACCEPT
Второй сервер DELL PE 2900, в той же конфигурации для тестов находится рядом на нем отрабатываю правила(так сказать учусь).

Код: [Выделить]

outif="eth0"
iptables -F 
iptables -i $outif -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -i $outif -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -i $outif -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -i $outif -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -i $outif -P INPUT DROP
iptables -i $outif -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -A INPUT –p tcp –m tcp –-tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP
iptables -A INPUT -m recent --rcheck --seconds 3600 --hitcount 10 --rttl -j RETURN
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 2 --rttl -j RETURN
iptables -A INPUT -m recent --set
iptables -P INPUT -j DROP
после ввода запрета ICMP-сообщений

Код: [Выделить]

iptables -A INPUT -p icmp -icmp-type 3,8,12 -j ACCEPTругается на 3,8,12 предлагает ввести iptables -h

Код: [Выделить]

iptables -A OUTPUT -p icmp -icmp-type 0,3,4,11,12 -j ACCEPTтоже самое, ругается на 0,3,4,11,12 предлагает ввести iptables -h

Код: [Выделить]

Типы ICMP-сообщений
0 — echo reply (echo-ответ, пинг)
3 — destination unreachable         (адресат недосягаем)
4 — source quench (подавление источника, просьба посылать пакеты медленнее)
5 — redirect (редирект)
8 — echo request (echo-запрос, пинг)
9 — router advertisement (объявление маршрутизатора)
10 — router solicitation (ходатайство маршрутизатора)
11 — time-to-live exceeded (истечение срока жизни пакета)
12 — IP header bad (неправильный IPзаголовок пакета)
13 — timestamp request (запрос значения счетчика времени)
14 — timestamp reply (ответ на запрос значения счетчика времени)
15 — information request (запрос информации)
16 — information reply (ответ на запрос информации)
17 — address mask request (запрос маски сети)
18 — address mask reply (ответ на запрос маски сети)

А после ввода Защиты от брутфорса

Код: [Выделить]

iptables -N brute_check
iptables -A brute_check -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A brute_check -m recent --set -j ACCEPT
iptables -F INPUT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j brute_check
iptables -P INPUT DROP
теряю связь с сервером наглухо пока на самой железяке не ввожу

Код: [Выделить]

iptables -I INPUT 1 -j ACCEPT
iptables -I OUTPUT 1 -j ACCEPT
iptables -I FORWARD 1 -j ACCEPT
Вот и грешу на iptables -F и iptables -P INPUT DROP

Просьба проверить правила и если есть ошибка ткнуть пальцем.
Вот собственно и прошу помощи, что бы не остаться без доступа к рабочему серверу DELL PE 1950?

[AnrDaemon]

1. Не пользуйтесь iptables, пишите правила сразу для iptables-restore(iptables-apply).
2. Если сервер необслуживаемый и нет возможности перезагрузить его физически, используйте iptables-apply, а не iptables-restore.

man всё это дело для лучшего понимания разницы. Так же https://forum.ubuntu.ru/index.php?topic=99586.0

[Cid81]

Благодарю Вас Уважаемые участники!
Разобрался я со своей проблемой.
Проблема в невнимательности с моей стороны:

В последней сессии я не сохранил правила где как раз таки открыл порты не сохранил и выключил сервер.
После включения сервера  как писал:

А чем помочь та? Что пошло не так? Если у вас пропал доступ к серваку, то как минимум его нужно перезагрузить. Настройки iptables не сохраняются автоматически.

начал продолжать:
iptables -N brute_check                                             
iptables -A brute_check -m recent --update --seconds 60 --hitcount 3 -j DROP   
iptables -A brute_check -m recent --set -j ACCEPT                        
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j brute_check   

После ввода последних командах и произошел как говорится "Ушиб всей бабушки"
iptables -F INPUT
iptables -P INPUT DROP
Это значит, что любой пакет, для которого явно не задано правило, которое его разрешает, автоматически отбрасывается

1. Не пользуйтесь iptables, пишите правила сразу для iptables-restore(iptables-apply).
2. Если сервер необслуживаемый и нет возможности перезагрузить его физически, используйте iptables-apply, а не iptables-restore.

man всё это дело для лучшего понимания разницы. Так же https://forum.ubuntu.ru/index.php?topic=99586.0

Спасибо за ссылку

И если кому интересно шпаргалка "слизана с простора инета":

[𝓝𝓲𝓻𝓭]

iptables -F INPUT
iptables -P INPUT DROP
Это значит, что любой пакет, для которого явно не задано правило, которое его разрешает, автоматически отбрасывается

Интересное кино получается. Вы сначала понаписали правил, что то разрешили, а потом все эти правила удалили командой iptaples -F Input и докучи запретили все входящие пакеты по умолчанию. Вот и не работает ничего. Потому что правил нет.

[AnrDaemon]

И если кому интересно шпаргалка "слизана с простора инета":

Шпаргалка, которой больше 20 лет, не просто неактуальна - она вредна.