Siemka! Czy jest mi ktoś w stanie pomóc z konfiguracją firewalla na najnowszym Debianie (10)? Z tego co wiem to zamiast iptables powinno się już używać nftables. Powinienem napisać regułki od 0 czy skorzystać z jakiejś opcji automatycznej migracji? Wie ktoś czy dobrze to działa? Dodatkowo prosiłbym o sprawdzenie moich aktualnych regułek. Są okej? Można coś poprawić? Dostępne mają byc tylko porty od redisa, postgresql, http/s oraz ssh tylko z podanych adresów ip.
# drop wszystkich inputow
iptables -P INPUT DROP
# drop wszystkich forwardsow
iptables -P FORWARD DROP
# accept wszystkich wychodzacych
iptables -P OUTPUT ACCEPT
# accept przychodzacych z locala
iptables -A INPUT -i lo -j ACCEPT
# zrobienie ipseta z polskimi ipkami
# https://www.ipdeny.com/ipblocks/data/aggregated/pl-aggregated.zone
ipset create allowed hash:net
# da sie to jakos zaladowac z external pliku albo z urla po kazdym odpaleniu serwera / x czasu w prosty sposob, zeby nie wypisywac recznie?
ipset add 2.56.68.0/22 itd....
# pozwolenie na dostep tylko polskim ipkom
iptables -A INPUT -m set --match-set allowed src -j ACCEPT
# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# redis
iptables -A INPUT -p tcp --dport 6379 -j ACCEPT
# http/s
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# postgresql
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
Powinienem do tego dodatkowo zastosować jakies limit bursty? Wyciąć NTP? Jakieś dodatkowe zabezpieczenia np. https://javapipe.com/blog/iptables-ddos-protection? Warto się w to bawić? Dodam, że nie mam i nie będę potrzebował żadnych usług działających na UDP.
Pomoc w konfiguracji firewalla na najnowszym Debianie
w Bezpieczeństwo
Opublikowano
Siemka! Czy jest mi ktoś w stanie pomóc z konfiguracją firewalla na najnowszym Debianie (10)? Z tego co wiem to zamiast iptables powinno się już używać nftables. Powinienem napisać regułki od 0 czy skorzystać z jakiejś opcji automatycznej migracji? Wie ktoś czy dobrze to działa? Dodatkowo prosiłbym o sprawdzenie moich aktualnych regułek. Są okej? Można coś poprawić? Dostępne mają byc tylko porty od redisa, postgresql, http/s oraz ssh tylko z podanych adresów ip.
# drop wszystkich inputow iptables -P INPUT DROP # drop wszystkich forwardsow iptables -P FORWARD DROP # accept wszystkich wychodzacych iptables -P OUTPUT ACCEPT # accept przychodzacych z locala iptables -A INPUT -i lo -j ACCEPT # zrobienie ipseta z polskimi ipkami # https://www.ipdeny.com/ipblocks/data/aggregated/pl-aggregated.zone ipset create allowed hash:net # da sie to jakos zaladowac z external pliku albo z urla po kazdym odpaleniu serwera / x czasu w prosty sposob, zeby nie wypisywac recznie? ipset add 2.56.68.0/22 itd.... # pozwolenie na dostep tylko polskim ipkom iptables -A INPUT -m set --match-set allowed src -j ACCEPT # ssh iptables -A INPUT -p tcp --dport 22 -j ACCEPT # redis iptables -A INPUT -p tcp --dport 6379 -j ACCEPT # http/s iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # postgresql iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
Powinienem do tego dodatkowo zastosować jakies limit bursty? Wyciąć NTP? Jakieś dodatkowe zabezpieczenia np. https://javapipe.com/blog/iptables-ddos-protection? Warto się w to bawić? Dodam, że nie mam i nie będę potrzebował żadnych usług działających na UDP.