michu190

Siemka! Czy jest mi ktoś w stanie pomóc z konfiguracją firewalla na najnowszym Debianie (10)? Z tego co wiem to zamiast iptables powinno się już używać nftables. Powinienem napisać regułki od 0 czy skorzystać z jakiejś opcji automatycznej migracji? Wie ktoś czy dobrze to działa? Dodatkowo prosiłbym o sprawdzenie moich aktualnych regułek. Są okej? Można coś poprawić? Dostępne mają byc tylko porty od redisa, postgresql, http/s oraz ssh tylko z podanych adresów ip. # drop wszystkich inputow iptables -P INPUT DROP # drop wszystkich forwardsow iptables -P FORWARD DROP # accept wszystkich wychodzacych iptables -P OUTPUT ACCEPT # accept przychodzacych z locala iptables -A INPUT -i lo -j ACCEPT # zrobienie ipseta z polskimi ipkami # https://www.ipdeny.com/ipblocks/data/aggregated/pl-aggregated.zone ipset create allowed hash:net # da sie to jakos zaladowac z external pliku albo z urla po kazdym odpaleniu serwera / x czasu w prosty sposob, zeby nie wypisywac recznie? ipset add 2.56.68.0/22 itd.... # pozwolenie na dostep tylko polskim ipkom iptables -A INPUT -m set --match-set allowed src -j ACCEPT # ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT # redis iptables -A INPUT -p tcp --dport 6379 -j ACCEPT # http/s iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # postgresql iptables -A INPUT -p tcp --dport 5432 -j ACCEPT Powinienem do tego dodatkowo zastosować jakies limit bursty? Wyciąć NTP? Jakieś dodatkowe zabezpieczenia np. https://javapipe.com/blog/iptables-ddos-protection? Warto się w to bawić? Dodam, że nie mam i nie będę potrzebował żadnych usług działających na UDP.