|
|
|
|
פורסם: 22/08/2014 - 02:15
נושא ההודעה: iptables ddos
|
שלום.
לאחרונה התחלתי ללמוד קצת על IPTABLES.
ואני רוצה לדעת כיצד להגן כמה שיותר מהגנת DDOS
שאלתי:
1. יצרתי מגבלה BRUST 500 לפורט 80. האם זה מוגזם?
2. האם יש המלצות כלשהן לסידורי או לדבר מיותרים בהגדרות ?
תודה.
קוד: |
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m set --set mng src -j ACCEPT
-A INPUT -m set --set country src -j DROP
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "Fragments Packets"
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "NULL Packets"
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "XMAS Packets"
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -m limit --limit 5/min --limit-burst 7 -j LOG --log-prefix "Fin Packets Scan"
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
#ips
-A INPUT -s 178.121.188.37 -m comment --comment HACk -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
-A INPUT -p icmp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
#-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# ftp-data
-A INPUT -p tcp --dport 20 -j ACCEPT
# ftp
-A INPUT -p tcp --dport 21 -j ACCEPT
# ssh
-A INPUT -p tcp --dport 7806 -j ACCEPT
#DirectAdmin
-A INPUT -p tcp --dport 2222 -j ACCEPT
# smtp One per second limt -burst rate of ten
-A INPUT -p tcp --dport 25 --syn -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp --dport 25 --syn -j DROP
-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
# DNS
-A INPUT -p tcp --dport 53 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
# http
#-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 500 -j ACCEPT
# POP-3
-A INPUT -p tcp --dport 110 -j ACCEPT
-A INPUT -p tcp --dport 995 -j ACCEPT
# identd
-A INPUT -p tcp --dport 113 -j ACCEPT
#imapd
-A INPUT -p tcp --dport 143 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT
# https
-A INPUT -p tcp --dport 443 -j ACCEPT
# mysql
-A INPUT -p tcp --dport 3306 -j ACCEPT
-A INPUT -p udp --dport 3306 -j ACCEPT
#
##Some ports should be denied and logged.
-A INPUT -p tcp --dport 22 -j DROP
-A INPUT -p tcp --dport 1433 -m limit -j LOG --log-prefix "Firewalled packet: MSSQL "
-A INPUT -p tcp --dport 1433 -j DROP
-A INPUT -p tcp --dport 6670 -m limit -j LOG --log-prefix "Firewalled packet: Deepthrt "
-A INPUT -p tcp --dport 6670 -j DROP
-A INPUT -p tcp --dport 6711 -m limit -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp --dport 6711 -j DROP
-A INPUT -p tcp --dport 6712 -m limit -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp --dport 6712 -j DROP
-A INPUT -p tcp --dport 6713 -m limit -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp --dport 6713 -j DROP
-A INPUT -p tcp --dport 12345 -m limit -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp --dport 12345 -j DROP
-A INPUT -p tcp --dport 12346 -m limit -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp --dport 12346 -j DROP
-A INPUT -p tcp --dport 20034 -m limit -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp --dport 20034 -j DROP
-A INPUT -p tcp --dport 31337 -m limit -j LOG --log-prefix "Firewalled packet: BO "
-A INPUT -p tcp --dport 31337 -j DROP
-A INPUT -p tcp --dport 6000 -m limit -j LOG --log-prefix "Firewalled packet: XWin "
-A INPUT -p tcp --dport 6000 -j DROP
#Traceroutes depend on finding a rejected port. DROP the ones it uses
-A INPUT -p udp --dport 33434:33523 -j DROP
#Don't log ident because it gets hit all the time eg connecting to an irc server
-A INPUT -p tcp --dport 113 -j REJECT
#Don't log igmp. Some people get too many of these
-A INPUT -p igmp -j REJECT
#Don't log web or ssl because people surfing for long times lose connection
#tracking and cause the system to create a new one, flooding logs.
-A INPUT -p tcp --dport 80 -j REJECT
-A INPUT -p tcp --dport 443 -j REJECT
##Catch all rules.
#iptables reverts to these if it hasn't matched any of the previous rules.
#Log. There's no point logging noise. There's too much of it.
#Just log connection requests
-A INPUT -p tcp --syn -m limit --limit 5/minute -j LOG --log-prefix "Firewalled packet:"
-A FORWARD -p tcp --syn -m limit --limit 5/minute -j LOG --log-prefix "Firewalled packet:"
#Reject
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -p all -j DROP
# foward
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset
-A FORWARD -p all -j DROP
#output
-A OUTPUT -p tcp --destination-port 6660:6669 -j DROP
-A OUTPUT -p tcp --destination-port 7000 -j DROP
#SMTP output, only allow mail to send remotely.
-A OUTPUT -m owner --uid-owner mail -p tcp --dport 25 -j ACCEPT
-A OUTPUT -m owner --uid-owner root -p tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -d 127.0.0.1 --dport 25 -j ACCEPT
-A OUTPUT -p tcp --dport 25 -j REJECT
COMMIT
|
|
|
חזרה לתוכן הדיון |
פורסם: 22/08/2014 - 11:59
נושא ההודעה:
|
IPTables הוא לא הכלי המתאים ל DDoS.
כלומר, הוא חוסם אותך בדלת, ולמעשה ה DDoS מצליח בכל מקרה. המטרה היא לחסום את הניסיון תקיפה הרבה לפני כן, לכן אין לו כלים באמת מתאימים לכך בברירת מחדל.
|
|
חזרה לתוכן הדיון |
פורסם: 22/08/2014 - 13:56
נושא ההודעה:
|
Anonymous : | IPTables הוא לא הכלי המתאים ל DDoS.
כלומר, הוא חוסם אותך בדלת, ולמעשה ה DDoS מצליח בכל מקרה. המטרה היא לחסום את הניסיון תקיפה הרבה לפני כן, לכן אין לו כלים באמת מתאימים לכך בברירת מחדל. |
האם התוצרה של ה IPTABLES נכונה?
האם יש המלצות לשינוי\מחיקה או כל דבר?
|
|
חזרה לתוכן הדיון |
|
|
|
|