Pomoc w konfiguracji firewalla na najnowszym Debianie

[michu190]

Siemka! Czy jest mi ktoś w stanie pomóc z konfiguracją firewalla na najnowszym Debianie (10)? Z tego co wiem to zamiast iptables powinno się już używać nftables. Powinienem napisać regułki od 0 czy skorzystać z jakiejś opcji automatycznej migracji? Wie ktoś czy dobrze to działa? Dodatkowo prosiłbym o sprawdzenie moich aktualnych regułek. Są okej? Można coś poprawić? Dostępne mają byc tylko porty od redisa, postgresql, http/s oraz ssh tylko z podanych adresów ip. 

 

# drop wszystkich inputow
iptables -P INPUT DROP
# drop wszystkich forwardsow
iptables -P FORWARD DROP
# accept wszystkich wychodzacych
iptables -P OUTPUT ACCEPT
# accept przychodzacych z locala
iptables -A INPUT -i lo -j ACCEPT

# zrobienie ipseta z polskimi ipkami
# https://www.ipdeny.com/ipblocks/data/aggregated/pl-aggregated.zone
ipset create allowed hash:net
# da sie to jakos zaladowac z external pliku albo z urla po kazdym odpaleniu serwera / x czasu w prosty sposob, zeby nie wypisywac recznie?
ipset add 2.56.68.0/22 itd....

# pozwolenie na dostep tylko polskim ipkom
iptables -A INPUT -m set --match-set allowed src -j ACCEPT

# ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# redis
iptables -A INPUT -p tcp --dport 6379 -j ACCEPT
# http/s
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# postgresql
iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

 

Powinienem do tego dodatkowo zastosować jakies limit bursty? Wyciąć NTP? Jakieś dodatkowe zabezpieczenia np. https://javapipe.com/blog/iptables-ddos-protection? Warto się w to bawić? Dodam, że nie mam i nie będę potrzebował żadnych usług działających na UDP.