Помогие советом по iptables

[Vlad.V]

Первый раз в жизне ставлю сервак для раздачи интернета, но это меня не пугает, пугает что у него все открыто и я не совсем понимаю как это закрыть. Чуть-чуть походил по сети, почитал, но инфы очень много и за два дня ее не понять, а сервак нужен, как всегда, на вчера. Собственно и хотел получить совет от тех, кто уже сталкивался с таким.
Подскажите, насколько правильно закрывать все порты следующей командой:

Код: [Выделить]

iptables -P INPUT DROPА после нее открывать только те порты, которые мне нужны, допустим 22й порт? Пробовал таким образом прикрыть все порты и потом открывать по одному, получилась странная хрень.
С другого пк в сети делаю nmap -Pn 192.168.10.1(адрес будующего сервера), получаю вот такой ответ:

Not shown: 996 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Из этих портов, оставляю только 2(22 и 80), все остальные были закрыты ранее командой iptables -P INPUT DROP.
Повторное сканирование показывает, что открыто только два порта, как и должно быть. После этого запускаю на серевере apt-get update, update не может связаться с сервером, пока снова не открою все порты, хотя если я делаю update c машины, которая стоит за сервером (192.168.10.10), то update проходит. Отсюда возникло два вопроса, какой порт нужен серверу для обновления и как получается так, что обновление с машины за сервером проходит, хотя порты закрыты, а с сервера - нет
Заранее спасбо!

[fisher74]

подход ПОЧТИ правильный.
Этой командой Вы указываете правило по-умолчанию для цепочки INPUT.
Есть ещё две основные цепочки: OUTPUT и FORWARD. Если для первой из них устанавливать такое же правило, то для новичка это почти 100% значит получить головняк высшей степени. А степень опасности - ниже среднего. Потому OUTPUT лучше вообще не трогать до появления уверенности в работе с netfilter.
Судя по тому, что это будет шлюз для раздачи интернета, то защищать нужно не только себя любимого сам шлюз, то и подопечных клиентов, которые будут работать через цепочку FORWARD. Вот её-то тоже надо бы прикрыть ... можно таким же правилом.

Теперь про "облом". Вы закрыли все входящие пакеты за исключением сервисов, которые наметили анонсировать в интернет. Но совершенно забыли, что при обращении шлюза в сеть он захочет получить ответ, а значит ответные пакеты тоже попадут в ловушку. А значит нужно разрешить проходить пакетам установленного соединения.

И это ещё не всё. Вы закрыли не только доступ с интернета, но и из будущей локальной сети. Но это уже другая история.

Кстати, есть ещё один неявный интерфейс, про который все забывают, но от работы которого может зависеть нормальная работа системы - это Loopback. И ему Вы тоже перекрыли цепочку INPUT.

[alexxnight]

Существую 2 подхода к построению защиты:
1. Разрешено все, что не запрещено
2. Запрещено все, что не разрешено

Суть очень простая:
в 1 случае пишем много запрещающих правил, и если пакет не подошел под запрет, разрешаем.
во 2 - сначала идут разрешающие правила, и то, что не подошло запрещаем.

Вы выбрали второй вариант (и на мой взгляд наиболее правильный) INPUT -P DROP
теперь Вам нужно прописать набор разрешающих правил
то, что было сказано выше не забывайте про:
iptables -t filter -A INPUT -i lo -j ACCEPT

А с NMAP штука интересная. Даже если Вы будете запрещать пакеты в таблице filter, он вычислит сервисы и напишет, что-то типа:
22/tcp  filtered  ssh

С этим можно бороться, но это другая песня

[Vlad.V]

Всем спасибо за ответы, только добрался до ноута вот что у меня получилось в итоге:

Код: [Выделить]


echo 1 > /proc/sys/net/ipv4/ip_forward

EXT_ETH=eth1 #External
INT_ETH=eth2 #Internal

# delete all existing rules.
iptables -F

#close all ports for in-traff
iptables -P INPUT DROP

#close all ports for forward-traff
iptables -P FORWARD DROP

#open all ports for out-traff
iptables -P OUTPUT ACCEPT

# Always accept loopback traffic
iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i $INT_ETH -o $EXT_ETH -j ACCEPT

#Turn on the NAT
iptables -t nat -A POSTROUTING -o $EXT_ETH -s 192.168.10.0/24 -j MASQUERADE

iptables -A FORWARD -i $EXT_ETH -m state --state ESTABLISHED,RELATED -j ACCEPT

#open only 22 port
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 
#open only 80 port
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Используя такие правила, как я и писал выше, наблюдаю странную картину: apt-get update на сервера я сделать не могу, не может подключится "Could not resolve 'security.ubuntu.com' и так далее", а с машины которая за натом, т.е. этим сервером - легко. Если выполнить команду iptables -P INPUT ACCEPT, то все в шоколаде, сервер обновляется. Мне кажется я что-то упустил...

И это ещё не всё. Вы закрыли не только доступ с интернета, но и из будущей локальной сети. Но это уже другая история.

Но я их могу в любой момент пробросить, если это нужно, верно? По аналогии с любым роутером, открываем только, что нужно и пробрасываем туда, куда нужно или открываем для всех.

А с NMAP штука интересная. Даже если Вы будете запрещать пакеты в таблице filter, он вычислит сервисы и напишет, что-то типа:
22/tcp  filtered  ssh

С этим можно бороться, но это другая песня

У меня тут не Пентагон да и я не крутой хацкер, а самое главное - паранойи пока нет)) Но хотя бы элементарную безопасность обеспечить нужно. Так что пока ограничусь без других песен))

Еще раз спасибо всем!

[fisher74]

Мне кажется я что-то упустил...

Угу, вот это

Вы закрыли все входящие пакеты ...А значит нужно разрешить проходить пакетам установленного соединения.

[AnrDaemon]

Я просто оставлю это здесь.

[fisher74]

Эххх, весь учебный процесс коту под хвост...

[alexxnight]

да в принципе верно. Есть же тема iptables для новичков

[Vlad.V]

Угу, вот это

Вы закрыли все входящие пакеты ...А значит нужно разрешить проходить пакетам установленного соединения.

Думал за это отвечает эта строка

Код: [Выделить]

iptables -A FORWARD -i $EXT_ETH -m state --state ESTABLISHED,RELATED -j ACCEPT

Насчет темы для новичков, не заметил так как изначально искал в разделе "сервера", там же и тему создал.
Сорри, перехожу в другую тему. Спасибо!

[fisher74]

все входящие пакеты

Думал за это отвечает эта строка

iptables -A FORWARD -i $EXT_ETH -m state --state ESTABLISHED,RELATED -j ACCEPT

Как говорится: почувствуй разницу

И iptables в данном контексте это раздел сетей, а не серверов.

[Vlad.V]

Ааа капец, уже чувствую, ошибка - смех! Спасибо!