Главная » Форум » Gentoo Linux » Системное администрирование

Правильная фильтрация пакетов

olegon 1 ноября, 2013 - 10:48

Прошу помощи. Поскольку я не специалист по сетевым протоколам, то что-то наворотить опасаюсь.
Суть в желании ограничить поток мусора, в том числе, противодействуя взлому и DDoS.
Как было

/sbin/iptables -A INPUT -i $INET -m conntrack --ctstate INVALID -j DROP
/sbin/iptables -A FORWARD -i $INET -m conntrack --ctstate INVALID -j DROP

/sbin/iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

/sbin/iptables -N INTCP
/sbin/iptables -A INPUT -i $INET -p tcp -j INTCP

/sbin/iptables -A INTCP -p tcp --tcp-flags ALL NONE -j DROP
/sbin/iptables -A INTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
/sbin/iptables -A INTCP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
/sbin/iptables -A INTCP -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
/sbin/iptables -A INTCP -p tcp --tcp-flags ACK,FIN FIN -j DROP
/sbin/iptables -A INTCP -p tcp --tcp-flags ACK,PSH PSH -j DROP
/sbin/iptables -A INTCP -p tcp --tcp-flags ACK,URG URG -j DROP

машина с NAT. И, к сожалению, есть предположения, что эти настройки где-то косячили, но бывало такое, что не работал тот же ютуб. Прошу подсказать, правильные ли настройки, что убрать, что добавить, что изменить и надо ли что-то делать с conntrack, а то его все время пилят и я уже запутался.

‹ Настройка Memcache, в phpinfo виден, в процессах нет, коннекта нет Master/master named replication ›
»

Взлому чего? ДДОСу какой из

Автор Tzar, дата создания 1 ноября, 2013 - 11:00.

Взлому чего? ДДОСу какой из служб? И каким макаром от всего этого спасает NAT, позвольте поинтересоваться?

PS. Мне кажется, коллеги, налицо признаки паранойи.

Пользуясь моментом, хочу передать привет друзьям, которые также пользуются "Моментом"

»

про NAT я упомянул в

Автор olegon, дата создания 1 ноября, 2013 - 11:15.

про NAT я упомянул в контексте того, что правила этой машины не должны вредить ему. Вашу позицию я понял - перекрываете только конкретные порты от конкретных хостов. Остальной поток идет, как идет.

http://olegon.ru

»

Вашу позицию я понял -

Автор slepnoga, дата создания 1 ноября, 2013 - 11:49.
Вашу позицию я понял - перекрываете только конкретные порты от конкретных хостов. Остальной поток идет, как идет.

На основании чего ты сделал такой вывод ?
апстолы - это очень просто же: если не можешь сделать в уме , нарисуй на бумажке как что должно работь

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Это все понятно, я говорю не

Автор olegon, дата создания 1 ноября, 2013 - 12:04.

Это все понятно, я говорю не о каких-то своих внутренних правилах, а о том, есть ли какие-то пакеты или сочетания их флагов, которые приходить не должны в принципе? Какой-то шум на интерфейсе, который лучше сразу дропать, последствия сканов портов и т.п.

http://olegon.ru

»

да, есть. Но у тебя же

Автор slepnoga, дата создания 1 ноября, 2013 - 13:41.

да, есть.
Но у тебя же хомячное подключение - половина дропнута уже провом, еще четверть нереальна.
Остально можно задропать, если ты параноик.
На вопрос что именно ответ простой - а тут уже надо разбиратся.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Хомячное - да, но со своим

Автор olegon, дата создания 1 ноября, 2013 - 14:50.

Хомячное - да, но со своим доменом... Хотелось бы узнать, что именно должен дропать пров и проверить, что он дропает...
Оно хоть и хомячное, но четверть Китая сканит порты, а вторая - перебирает пароли. Почему озаботился вставками правил выше с внешнего интерфейса иногда прилетают пакеты с внутренней адресацией, т.е. типа от 10.10.0.5, которого у меня в пределах видимости ни внутри, ни снаружи нет. Каким образом и почему - не знаю.

http://olegon.ru

»

>>Оно хоть и хомячное, но

Автор wi, дата создания 6 ноября, 2013 - 09:20.

>>Оно хоть и хомячное, но четверть Китая сканит порты, а вторая - перебирает пароли.
Если вы выставили айпи наружу вас будут сканить на предмет открытых портов, ибо они дают сервис, ради которого и существует глобальная сеть. Это нормально.
Чтото наподобии
iptables -A INPUT -i $INET -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

отрубает попытки пробраться внутрь сети извне.

Если вы выставили порт наружу к нему будут пытаться подключиться, ибо если сервис существует то им неплохо было бы воспользоваться. И тут есть несколько способов защиты, усиленная авторизация (openvpn,ssh ), автобан брутфорсеров через модуль hashlimit (iptables) или c использованием лог-анализатора типа Fail2ban , ну а для непубличных сервисов - жосткая обрезка по айпи (iptables) и (для оочень непубличных) сокрытие портов либо вручную либо net-misc/knock

>>10.10.0.5, которого у меня в пределах видимости ни внутри, ни снаружи нет
Скажем так: Для подобного утверждения о пределах видимости необходимо знать внутреннюю структуру вашего прова. Ибо по его сети (ваш внешний интерфейс есно является его неотемлемой частью) вполне могут гулять разнообразные пакеты с внутренней адресацией. Второй вариант (прорыв локального пакета через сеть прова) крайне маловероятен по причине проблем маршрутизации.

»

Похоже вы просто спутали

Автор SysA, дата создания 1 ноября, 2013 - 14:50.

Похоже вы просто спутали техфорум с техподдержкой... :)
Здесь помогают решить проблему, но никто не подпишется думать и делать за вас, разве что тут!
Начните разбираться сами, можете глянуть сюда - тут достаточно просто и доступно описано, или наймите специалиста...

»

Смилуйтесь, прошу еще раз

Автор olegon, дата создания 1 ноября, 2013 - 16:43.

Смилуйтесь, прошу еще раз внимательно прочитать, что я пишу и какие примеры привел.
Интересует не как использовать iptables и не как пишутся правила, а какие пакеты достаточно часто валятся мусором или используются при DDoSе, в описании через правила iptables. Если что - это не финансовая заинтересованность в результате, просто хочу лично для себя разобраться и понять, в частности, эти правила были найдены когда-то в какой-то статье. Т.е. кто-то считал, что эти пакеты - мусор и должны фильтроваться. Я ожидал обсуждения так это или не так, а не обсуждения моего умения пользоваться столами. Я и начал разбираться сам, в том числе с помощью вопросов на форуме, который для этого и предназначен. И гуглю, но одно заблуждение тянет за собой несколько других, поэтому хотелось бы прямого ответа на вопрос, но, судя по всему, никто мусорный траффик не фильтрует. Это тоже полезная информация.

http://olegon.ru

»

Не надо гуглить - в данном

Автор slepnoga, дата создания 1 ноября, 2013 - 18:05.

Не надо гуглить - в данном (фундаментальном) вопросе это не поможет.

http://book.itep.ru/ , потом Олиферы.
недели за 2 реально прочитать.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Кстати благодарствую за линк

Автор draft3r, дата создания 2 ноября, 2013 - 06:04.

Кстати благодарствую за линк ) Сижу - курю, чай пью. Интересно же.

知る者は言わず言う者は知らず
"Бабло, побеждает даже зло"

»

с внешним интерфейсом обычно

Автор _SerEga_, дата создания 1 ноября, 2013 - 21:00.

с внешним интерфейсом обычно наоборот: не фильтруют "мусорный" трафик, а разрешают только нужное, а остальное дропают

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".