Как защитить linux-сервер при помощи фаерволла?

Здравствуйте! Подскажите, пожалуйста, как должен быть правильно настроен фаерволл, чтобы защитить сервер, круглосуточно подключённый к Интернет. Вот скрипт, загружающего фаерволл на моём сервере:
#!/bin/sh
## Очистка таблиц
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

## Отфильтровывание пакетов с локальным адресом
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -t filter -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables –t filter –A INPUT –i eth0 –s 10.0.0.0/8 –j DROP

## Отфильтровывание пакетов на широковещательный адрес
iptables –t filter –A INPUT –i eth0 –d 255.255.255.255 –j DROP

## Разрешить lo и внутреннюю сеть
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i eth1 -j ACCEPT

## Разрешить icmp
iptables –t filter -A INPUT -i eth0 -p icmp -j ACCEPT

## Закрытие портов входящих соединений, кроме ssh
iptables –t filter -A INPUT -i eth0 -p udp -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables –t filter -A INPUT -i eth0 -p tcp -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables –t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

## Всё остальное запретить
iptables -t filter -A INPUT -j DROP


Закрытия портов и отфильтровывания широковещательных и локальных пакетов недостаточно? Слышал, что нужно также фильтровать фрагментированые icmp-пакеты и что-то ещё. Подскажите, чего не хватает.
  • Вопрос задан
  • 5367 просмотров
Пригласить эксперта
Ответы на вопрос 3
@bondbig
Вопрос как-то некорректно задан. Какие задачи сервер выполняет-то? Какие риски?
Можно и вообще без фаервола обойтись в некоторых случаях, если уж на то пошло, достаточно просто не «светить» лишними портами наружу, правильно настраивая директиву listen в конфигах служб/сервисов.
Ответ написан
@miwa
Вопрос не совсем корректный, как уже сказали. Что вообще должен делать сервер, кроме того, чтобы круглосуточно смотреть в интернет? На него кто-то должен заходить? Кто, откуда, куда (в смысле, какими службами сервера пользоваться)? С другой стороны, разрешать любой трафик изнутри сети в наше непростое время — тоже довольно легкомысленно. Если уж вы опасаетесь атаки извне, где гарантия, что не будет атакована сначала машина в локалке, а уже через нее — ваш сервер?

А еще много от дистрибутива зависит. Каждый популярный дистрибутив предлагает рекомендации по увеличению собственной безопасности — погуглите по словосочетанию «distro hardening|securing»
Ответ написан
kyzia
@kyzia
Не пользуйтесь скриптом!

Пользуйтесь iptables-save, iptables-restore.
В случае использования скрипта — у вас будет пропадать сеть на пару минут при добавлении нового правила.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы