Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Pomoc w konfiguracji firewalla na najnowszym Debianie


michu190
 Udostępnij

Rekomendowane odpowiedzi

Siemka! Czy jest mi ktoś w stanie pomóc z konfiguracją firewalla na najnowszym Debianie (10)? Z tego co wiem to zamiast iptables powinno się już używać nftables. Powinienem napisać regułki od 0 czy skorzystać z jakiejś opcji automatycznej migracji? Wie ktoś czy dobrze to działa? Dodatkowo prosiłbym o sprawdzenie moich aktualnych regułek. Są okej? Można coś poprawić? Dostępne mają byc tylko porty od redisa, postgresql, http/s oraz ssh tylko z podanych adresów ip. 

 

# drop wszystkich inputow
iptables -P INPUT DROP
# drop wszystkich forwardsow
iptables -P FORWARD DROP
# accept wszystkich wychodzacych
iptables -P OUTPUT ACCEPT
# accept przychodzacych z locala
iptables -A INPUT -i lo -j ACCEPT

# zrobienie ipseta z polskimi ipkami
# https://www.ipdeny.com/ipblocks/data/aggregated/pl-aggregated.zone
ipset create allowed hash:net
# da sie to jakos zaladowac z external pliku albo z urla po kazdym odpaleniu serwera / x czasu w prosty sposob, zeby nie wypisywac recznie?
ipset add 2.56.68.0/22 itd....

# pozwolenie na dostep tylko polskim ipkom
iptables -A INPUT -m set --match-set allowed src -j ACCEPT

# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# redis
iptables -A INPUT -p tcp --dport 6379 -j ACCEPT
# http/s
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# postgresql
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

 

Powinienem do tego dodatkowo zastosować jakies limit bursty? Wyciąć NTP? Jakieś dodatkowe zabezpieczenia np. https://javapipe.com/blog/iptables-ddos-protection? Warto się w to bawić? Dodam, że nie mam i nie będę potrzebował żadnych usług działających na UDP.

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.