Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: LuKKaS 09 Května 2009, 15:34:50
-
Chcel by som sa vas spytat ... ako nastavit poriadne firewall na serveri? Viem ze plati ze Co je nepotrebne neotvarat a co neni otvorene neni nebezpecne ale napriklad ako spravit to ze ... napr ze program OpenSSH moze pouzivat port 22 a ziadny iny ? alebo ako najlepsie to zabezpecit ?
Alebo tak ze ... ked nainstalujem Ubuntu Server Uz netreba nic nastavovat ?
-
to najjednoduchsie:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
-
ještě jednodušší
sudo ufw enable
sudo ufw default deny
sudo ufw allow ssh
tyto příkazy zapnou ufw a zakážou všechnu příchozí komunikaci krom portu 22 (ssh)
pro server více na
http://wiki.ubuntu.cz/UFW
a pro desktop
http://wiki.ubuntu.cz/GUFW
jinak ssh normálně používá 22 a měl by na něm i běžet...
-
Hej hej ... ale ked nedam sudo ufw default deny tak to nevadi ci hej ? :) ked si presnejsie definujem uz pravidla a overim si to sudo ufw status a mam tam urcite pravidla no nie ?
-
přečtěte si wiki...
-
A ked uz pristup odkial kolvek tak by asi bolo lepsie to riesit pomocou nejakej VPN - IPSec, OpenVPN, ...
-
A ked uz pristup odkial kolvek tak by asi bolo lepsie to riesit pomocou nejakej VPN - IPSec, OpenVPN, ...
No SSH mi přijde teda o mnoho lepší 8)
-
Vsetko zavisi od uzivatela a ludskej hluposti ;)
EDIT: toto nie je mierene voci nikomu. je to cisto obecny dotaz :)
-
a jéje zase nějaké změny. naštěstí je UFW v defaultu vypnuté. myslíte, že když jsem prostě převzal toto nastavení ze starého serveru, že nebude fungovat?
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
exit 0
-
hej hej ufw je defaultne vypnute tak som si ho zapnul :) tak ale potencialne je dobre nie ? nie ze budem mat otvorene vsetky porty a budem nachylny na utoky a tak ...
-
prostě používejte ufw...
nastavte default policy na deny, povolte nutné porty, popř nastavte sdílení, pěkný návod je na anglické wiki..
jinak ufw používejte proto, že je udělané jednoduše a funguje naprosto rychle a efektivně, není to prostě dlouhé přemýšlení atd..není potřeba používat žádné skripty... jednou nastavíte a jedete..
-
/miniflame
no asi jo, ale tahle rada nepatri do sekce serveru. v tech navodech chybi jakekoliv sofistikovanejsi veci, jejichž potřeba se může vyskytnout. podle toho návodu nevím jak tam nastavím třeba něco takového:
iptables -t nat -A PREROUTING -s 192.168.1.97 -d 88.103.xxx.xxx -p tcp -m tcp --dport 25 -j DNAT --to 192.168.1.92:25
iptables -t nat -A PREROUTING -s 192.168.1.97 -d 88.103.xxx.xxx -p tcp -m tcp --dport 110 -j DNAT --to 192.168.1.92:110
iptables -t nat -A PREROUTING -d 10.0.0.2 -m tcp -p tcp --dport 60002 -j DNAT --to-destination 192.168.1.94:60002
iptables -t nat -A PREROUTING -d 10.0.0.2 -m udp -p udp --dport 60002 -j DNAT --to-destination 192.168.1.94:60002
urcite to nejak pujde a podle navodu se pulka stejne musi udelat pres iptables, ale takhle to je par radek. nicmene naprosto souhlasim ze to vypada, ze konecne nekdo udelal uzivatelsky privetivy FW pro desktop.
/miniflame
-
marshall1727
vzhledem k tomu, že se ufw stále vyvíjí, je pravděpodobné, že brzo bude možné jednoduše zadat přes ufw i přeposílání atd, v každém případě je nyní možné používat i iptables v ufw..
https://help.ubuntu.com/9.04/serverguide/C/firewall.html
jinak pokud někdo dělá vyloženě pořádný FW, tak asi použije přímo distribuci pro tvorbu FW ;)