Re: www-сервер. (+firewall)
Hello Victor B. Wagner,
> Файрволл на отдельно стоящем хостинговом сервере НУЖЕН.
у меня сейчас вот такой скрипт. нормально или не очень?
=======================================================
#!/bin/sh
IPT="/sbin/iptables"
INET_IFACE="eth0"
## clear rule
$IPT -F -t nat
$IPT -X -t nat
$IPT -F
$IPT -X
#пропускаем уже установленные соединения
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#принять все с внутренних интерфейсов (то есть с lo)
$IPT -A INPUT -m state --state NEW -i ! $INET_IFACE -j ACCEPT
#"неправильные" пакеты
#новые, но неправильные SYN пакеты (syn flood: SYN,ACK)
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -i
$INET_IFACE -j REJECT --reject-with tcp-reset
#новые, но не SYN пакеты
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -i $INET_IFACE -j DROP
#такие пакеты нам не нужны
$IPT -A INPUT -s 10.0.0.0/8 -i $INET_IFACE -j DROP
$IPT -A INPUT -s 172.16.0.0/12 -i $INET_IFACE -j DROP
$IPT -A INPUT -s 192.168.0.0/16 -i $INET_IFACE -j DROP
#icmp
$IPT -A INPUT -p icmp -m state --state NEW -i $INET_IFACE --icmp-type 8 -m limit
--limit 5/second -j ACCEPT
#ssh
$IPT -A INPUT -p tcp -m state --state NEW --dport 22 -i $INET_IFACE -j ACCEPT
#www
$IPT -A INPUT -p tcp -m state --state NEW --dport 80 -i $INET_IFACE -j ACCEPT
$IPT -A INPUT -p tcp -m state --state NEW --dport 443 -i $INET_IFACE -j ACCEPT
## отстальные пакеты отбросить
$IPT -A INPUT -j REJECT --reject-with icmp-host-unreachable
#
--
И это тоже пройдет.
Reply to: