Üdv!
talisker: dj_crow@freemail.hu | Előre is köszönöm!
Kivettem az általad javasoltakat!Ftp-vel nem is akarom elérni a szervert,csak le akarom szedni a frissítéseket crontab segítségével a gépre!Ezért hagyom ezt kimenni, bejönni viszont nem kell,mert ftp nem fut a gépen!
smpt szintén csak azért van a kimenőbe,mert a logokat akarom hogy küldje nekem a gép!
A Winfosos portpásztázást kitíltottam:
#iptables -A INPUT -p tcp -m multiport --dport 135,136,137,138,139,445 -j REJECT
#iptables -A INPUT -p udp -m multiport --dport 135,136,137,138,139,445 -j REJECT
De még így is a tűzfal indulása után elkezdi a tartományból "Tíltott bejövő kapcsolat néven a loggolást..." - Lehet, hogy a végével van a probléma, hogy mindent logolok és utánna dobok el mindent???
Most engedem az icmp-t,erre érdemes lenne vmi megszorítást tenni?Pl, ha vki túl nagy csomaggal bombázza a szervert stb stb...
Vmilyen szabályt érdemes lenne még belefűzni?
Előre is köszönöm!
-------------------------------------------------------------------------------------------------------
Itt vannak a változtatások:
#!/bin/bash
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -X
#----------------------------------------------------------------------------------#
# INPUT lánc szabályai: #
#----------------------------------------------------------------------------------#
#lo interface mehet
iptables -A INPUT -i lo -j ACCEPT
#Meglévő és kapcsolódó folyamatokat engedélyezi
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#ping
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
#Gyanus csomagok eldobása
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
#SSH engedése a megadott tartományról + loggolás
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Bejövő SSH kapcsolat: "
iptables -A INPUT -s x.x.x.x/24 -p tcp --dport 22 -j ACCEPT
#dns
iptables -A INPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT
#Winfos ellen:
iptables -A INPUT -p tcp -m multiport --dport 135,136,137,138,139,445 -j REJECT
iptables -A INPUT -p udp -m multiport --dport 135,136,137,138,139,445 -j REJECT
#Minden más bejövő eldobása és loggolása:
iptables -A INPUT -j LOG --log-prefix "Tíltott bejövő kapcsolat: "
iptables -A INPUT -j DROP
#----------------------------------------------------------------------------------#
# OUTPUT lánc szabályai: #
#----------------------------------------------------------------------------------#
#lo interface mehet
iptables -A OUTPUT -o lo -j ACCEPT
#Meglévő, új és a kapcsolódó folyamatokat engedélyezi
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#ftp
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 20 -m state --state NEW,RELATED -j ACCEPT
#dns
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT
#http
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 80 -m state --state NEW,RELATED -j ACCEPT
#smtp
iptables -A OUTPUT -p udp --dport 25 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,RELATED -j ACCEPT
#Minden más loggolva lesz
iptables -A OUTPUT -j LOG --log-prefix "Eldobott kimenő kapcsolat: "
iptables -A OUTPUT -j DROP