Настройка IPTABLES

[FTK]

Доброго времени суток.
Помогите настроить IPTABLES для некоторых приложений.

Вот меня интересует Opera, Google Chrome, Firefox

chrom сидит на
TCP 80,8080,5353,433
UDP 5353,433,8080,80
Это я на INPUT поставил, а на OUTPUT еще больше будет. Я так понимаю, он в диапазоне генерирует порт?

Есть еще порты, так как Youtybe открывается не полноценно, css не загружаются. Да и другие порты не отрываются.

Подскажите, как настроить под них iptables?

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

# тоже для удобства
IPTABLES="/sbin/iptables"
IPTABLES6="/sbin/ip6tables"
# стандартные действия
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
#IP6 полностью блокируем. Он нам не нужен.
$IPTABLES6 -P INPUT DROP
$IPTABLES6 -P OUTPUT DROP
$IPTABLES6 -P FORWARD DROP
# удаляем все имеющиеся правила

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
$IPTABLES -Z
$IPTABLES -t nat -Z
$IPTABLES -t mangle -Z
$IPTABLES -N allowed

$IPTABLES -A INPUT -p TCP -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -m multiport --dports 631,443,5353,8080,80 -j ACCEPT
$IPTABLES -A INPUT -p UDP -m multiport --dports 53,631,443,5353,8080,80 -j ACCEPT
$IPTABLES -A INPUT -j DROP

[AnrDaemon]

FTK, простите, а что за [цензура] вы пытаетесь сделать?

[FTK]

пытаюсь настроить на своем рабочем desktope iptables.
или Iptables используют исключительно на серверах?

[AnrDaemon]

"настроить" это не цель, это средство.
Какую цель вы преследуете вашей настройкой?

[FTK]

Цель, защитить комп от постороннего проникновения. Через разные backdoor, уязвимости, переборы паролей и так далее. В этом моменте я закрываю, все лишние порты и контролировать ситуацию на компе.

[AnrDaemon]

А при чём тут хром? Опера? Файрфокс?…

Показывайте

Код: [Выделить]

ip a; ip r s type unicast

[FTK]

(Нажмите, чтобы показать/скрыть)

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 10:fe:ed:02:7c:f4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.100/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::12fe:edff:fe02:7cf4/64 scope link
       valid_lft forever preferred_lft forever
default via 192.168.0.1 dev eth0  proto static
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.100  metric 1

[AnrDaemon]

Ну и? Вы уже отрезаны от интернета роутером. Какой ЕЩЁ защиты вам надо?
От самого себя? Выключите компьютер и не подходите к нему.

[FTK]

На этом компе стоит роутер, на другом нет. Там прямое подключение.
Пользователь решил продолжить мысль [time]16 Март 2016, 15:47:07[/time]:Вас послушать, так поставь роутер и не парься, он сам тебя защитит магическим образом. А, то что их обходят, у многих роутеров огромное количество уязвимостей про которые, регулярно то и дело пишут в информационных новостях. Да, на том же opennet.

Мы же не Windowsом пользуемся, где нажми кнопку и оно само за тебя все сделает, а как оно делает и сделает ли вообще не известно. (черный ящик)

Дистрибутивы linux скоро по такой же тематике пойдут, да что там скоро, уже идут. ((
Пользователь решил продолжить мысль 16 Марта 2016, 14:48:49:Меня уже взломали через этот роутер несколько дней назад. Что-то он не помог ))
По этой причине и завел эту тематику.

[AnrDaemon]

…без комментариев.
Взломали не через роутер, а через вас. Вы сами себя взломали.

[FTK]

Разумеется, есть несколько способов взлома компа.
Физическое подключение и через сеть. К физическому я отношу, скажем зараженную флеку, которую хозяин компа подключит, рассчитывая, что на ней нет ни чего. Этот вариант сейчас мы не рассматриваем.

Мы рассматриваем второй случай. Когда взлом происходит через сеть. Если брать дилетанта, то он и не обойдет эту защиту(роутер), если будет это делать, человек знающий свое дело. То, роутер ему не станет помехой.


Возможно, я что-то не знаю и не понимаю во всем этом. Можете пояснить свой ответ?

[toZen]

Топик очищен от флуда.
Господа, если нечего сказать по делу, лучше избегать пустых комментариев.
Будем считать это предупреждением.
Обоим.

[FTK]

Я с вами полностью согласен.
Пользователь решил продолжить мысль 17 Марта 2016, 11:13:01:А, тема все еще актуальна.

[alexxnight]

В данном случае Вам нужно поменять пароли, сделать их более устойчивыми к взлому.
И постепенно изучать iptables.

[FTK]

Хорошо, подойду к вопросу иначе.
Рассматриваем ситуацию, когда прямое подключение к интернету.

К каким приложениям возможно подключиться извне?

mysql-server, ssh-server - это тот набор, который стоит у меня на компе.

Других программ к которым возможно подключиться, я пока не вижу

(Нажмите, чтобы показать/скрыть)

skype
teamviewer
gimp
inkscape
viber
sublime
filezilla
libreOffice
Torrent
VirtualBox
PlayOnLinux
Kdenlive
Kazam
Web-Browser

(поправьте, если не прав)

Значит их нужно усиленно охранять через IPTABLES.

Вопрос: что делать с трафиком?

• Разрешаем весь трафик, но при этом, он должен пройти проверку
• Ставить проверку на BADFLAGS (пример: --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG )
• Ставить проверку на стуки на нерабочие порты.
• Ставить проверку на synFlood
• Ставить защиту от сканирования портов.

Вопрос: Что делать с приватными портами? На которые могут подключиться!

• А, на них, нужно поменять стандартные порты и если, кто будет стучать по старым, банить(fail2ban и IPTABLES).
• Если будут стучать по нужному порту, и при этом он не будет из доверенной зоны IP адресов(если таковая имеется), то его в бан и IPTABLES DROP
• Ставить защиту от разного вида перебора(IPTABLES,Fail2ban)

Что касается ICMP, то запрещаем опасные типы и остаются только разрешенные:
INPUT ICMP 3,8,12
OUTPUT ICMP 0.3.4.11.12

После всех проверок на INPUT и OUTPUT ставим ACCEPT.
А, FORWARD DROP в моем случае. Так как пакеты дальше не идут по другим компам.


На, компе находится важная информация и по этой причине приходится защищать его, так же жизненно важно на нем иметь выход в интернет(это, тем умникам, которые будут говорить, чтобы вообще выключил интернет и все будет защищено)

Поправьте меня, если план действий не верный и подскажите, что еще можно добавить или отредактировать?