Правильная фильтрация пакетов
olegon 1 ноября, 2013 - 10:48
Прошу помощи. Поскольку я не специалист по сетевым протоколам, то что-то наворотить опасаюсь.
Суть в желании ограничить поток мусора, в том числе, противодействуя взлому и DDoS.
Как было
/sbin/iptables -A INPUT -i $INET -m conntrack --ctstate INVALID -j DROP /sbin/iptables -A FORWARD -i $INET -m conntrack --ctstate INVALID -j DROP /sbin/iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT /sbin/iptables -N INTCP /sbin/iptables -A INPUT -i $INET -p tcp -j INTCP /sbin/iptables -A INTCP -p tcp --tcp-flags ALL NONE -j DROP /sbin/iptables -A INTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP /sbin/iptables -A INTCP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP /sbin/iptables -A INTCP -p tcp --tcp-flags FIN,RST FIN,RST -j DROP /sbin/iptables -A INTCP -p tcp --tcp-flags ACK,FIN FIN -j DROP /sbin/iptables -A INTCP -p tcp --tcp-flags ACK,PSH PSH -j DROP /sbin/iptables -A INTCP -p tcp --tcp-flags ACK,URG URG -j DROP
машина с NAT. И, к сожалению, есть предположения, что эти настройки где-то косячили, но бывало такое, что не работал тот же ютуб. Прошу подсказать, правильные ли настройки, что убрать, что добавить, что изменить и надо ли что-то делать с conntrack, а то его все время пилят и я уже запутался.
»
- Для комментирования войдите или зарегистрируйтесь
Взлому чего? ДДОСу какой из
Взлому чего? ДДОСу какой из служб? И каким макаром от всего этого спасает NAT, позвольте поинтересоваться?
PS. Мне кажется, коллеги, налицо признаки паранойи.
Пользуясь моментом, хочу передать привет друзьям, которые также пользуются "Моментом"
про NAT я упомянул в
про NAT я упомянул в контексте того, что правила этой машины не должны вредить ему. Вашу позицию я понял - перекрываете только конкретные порты от конкретных хостов. Остальной поток идет, как идет.
http://olegon.ru
Вашу позицию я понял -
На основании чего ты сделал такой вывод ?
апстолы - это очень просто же: если не можешь сделать в уме , нарисуй на бумажке как что должно работь
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Это все понятно, я говорю не
Это все понятно, я говорю не о каких-то своих внутренних правилах, а о том, есть ли какие-то пакеты или сочетания их флагов, которые приходить не должны в принципе? Какой-то шум на интерфейсе, который лучше сразу дропать, последствия сканов портов и т.п.
http://olegon.ru
да, есть. Но у тебя же
да, есть.
Но у тебя же хомячное подключение - половина дропнута уже провом, еще четверть нереальна.
Остально можно задропать, если ты параноик.
На вопрос что именно ответ простой - а тут уже надо разбиратся.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Хомячное - да, но со своим
Хомячное - да, но со своим доменом... Хотелось бы узнать, что именно должен дропать пров и проверить, что он дропает...
Оно хоть и хомячное, но четверть Китая сканит порты, а вторая - перебирает пароли. Почему озаботился вставками правил выше с внешнего интерфейса иногда прилетают пакеты с внутренней адресацией, т.е. типа от 10.10.0.5, которого у меня в пределах видимости ни внутри, ни снаружи нет. Каким образом и почему - не знаю.
http://olegon.ru
>>Оно хоть и хомячное, но
>>Оно хоть и хомячное, но четверть Китая сканит порты, а вторая - перебирает пароли.
Если вы выставили айпи наружу вас будут сканить на предмет открытых портов, ибо они дают сервис, ради которого и существует глобальная сеть. Это нормально.
Чтото наподобии
iptables -A INPUT -i $INET -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
отрубает попытки пробраться внутрь сети извне.
Если вы выставили порт наружу к нему будут пытаться подключиться, ибо если сервис существует то им неплохо было бы воспользоваться. И тут есть несколько способов защиты, усиленная авторизация (openvpn,ssh ), автобан брутфорсеров через модуль hashlimit (iptables) или c использованием лог-анализатора типа Fail2ban , ну а для непубличных сервисов - жосткая обрезка по айпи (iptables) и (для оочень непубличных) сокрытие портов либо вручную либо net-misc/knock
>>10.10.0.5, которого у меня в пределах видимости ни внутри, ни снаружи нет
Скажем так: Для подобного утверждения о пределах видимости необходимо знать внутреннюю структуру вашего прова. Ибо по его сети (ваш внешний интерфейс есно является его неотемлемой частью) вполне могут гулять разнообразные пакеты с внутренней адресацией. Второй вариант (прорыв локального пакета через сеть прова) крайне маловероятен по причине проблем маршрутизации.
Похоже вы просто спутали
Похоже вы просто спутали техфорум с техподдержкой... :)
Здесь помогают решить проблему, но никто не подпишется думать и делать за вас, разве что тут!
Начните разбираться сами, можете глянуть сюда - тут достаточно просто и доступно описано, или наймите специалиста...
Смилуйтесь, прошу еще раз
Смилуйтесь, прошу еще раз внимательно прочитать, что я пишу и какие примеры привел.
Интересует не как использовать iptables и не как пишутся правила, а какие пакеты достаточно часто валятся мусором или используются при DDoSе, в описании через правила iptables. Если что - это не финансовая заинтересованность в результате, просто хочу лично для себя разобраться и понять, в частности, эти правила были найдены когда-то в какой-то статье. Т.е. кто-то считал, что эти пакеты - мусор и должны фильтроваться. Я ожидал обсуждения так это или не так, а не обсуждения моего умения пользоваться столами. Я и начал разбираться сам, в том числе с помощью вопросов на форуме, который для этого и предназначен. И гуглю, но одно заблуждение тянет за собой несколько других, поэтому хотелось бы прямого ответа на вопрос, но, судя по всему, никто мусорный траффик не фильтрует. Это тоже полезная информация.
http://olegon.ru
Не надо гуглить - в данном
Не надо гуглить - в данном (фундаментальном) вопросе это не поможет.
http://book.itep.ru/ , потом Олиферы.
недели за 2 реально прочитать.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Кстати благодарствую за линк
Кстати благодарствую за линк ) Сижу - курю, чай пью. Интересно же.
知る者は言わず言う者は知らず
"Бабло, побеждает даже зло"
с внешним интерфейсом обычно
с внешним интерфейсом обычно наоборот: не фильтруют "мусорный" трафик, а разрешают только нужное, а остальное дропают