Фаервол для веб-сервера, handler2006, 19-Апр-10, 09:56 [смотреть все]Здравствуйте! По роду своей деятельности пытаюсь администрировать сервер в локальной сети с выходом в интернет. Теперь у меня возникла задача обеспечить работу веб-сервера в сети интернет со статическим внешним адресом. Некоторые ньюансы работы с фаерволом в локальной сети мне известны, а вот насчет работы с внешним миром у меня опыта ноль. Потому прошу Вашего совета в написании фаервола.iptables -A INPUT -i $EXT_IF -p tcp -dport 80 -j ACCEPT iptables -A INPUT -i $EXT_IF -j DROP iptables -A OUTPUT -o $EXT_IF -p tcp -dport 80 -j ACCEPT iptables -A OUTPUT -o $EXT_IF -p tcp -j DROP Полагаю, этих правил достаточно для доступа к серверу извне? Кроме этих правил я напишу правиля для доступа локальных приложений в интернет, и, возможно, форвардинг для нескольких машин изнутри. Меня интересует вопрос по поводу отказоустойчивости фаервола в случае атак извне: возможно, необходимо добавить правила в цепочку инпут, ограничивающие число запросов с одного ип? Заранее благодарен. Алексей. Днепр.
|
- Фаервол для веб-сервера, AdVv, 13:39 , 19-Апр-10 (1)
> >Полагаю, этих правил достаточно для доступа к серверу извне? >Кроме этих правил я напишу правиля для доступа локальных приложений в интернет, >и, возможно, форвардинг для нескольких машин изнутри. >Меня интересует вопрос по поводу отказоустойчивости фаервола в случае атак извне: >возможно, необходимо добавить правила в цепочку инпут, ограничивающие число запросов с одного >ип? >Заранее благодарен. Алексей. Днепр. Я не силен в синтаксисе IPTABLES но есть подозрение что третье правило бессмысленно. Чтобы можно было сказать это с уверенностью пожалуйста приведите полный набор правил. Ну а по поводу ограничений - не предавайтесь паранойе, оцените насколько интересен ваш сайт для атак извне ;).
- Фаервол для веб-сервера, tux2002, 15:16 , 19-Апр-10 (3)
>Я не силен в синтаксисе IPTABLES но есть подозрение что третье правило >бессмысленно. Действительно, там уместно --sport
- Фаервол для веб-сервера, tux2002, 15:15 , 19-Апр-10 (2)
Можно построже немножко: iptables -A INPUT -i $EXT_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -i $EXT_IF -j DROP iptables -A OUTPUT -o $EXT_IF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $EXT_IF -j DROP При необходимости вот https://www.opennet.ru/base/net/connlimit_fedora.txt.html
- Фаервол для веб-сервера, handler2006, 22:54 , 19-Апр-10 (4)
По поводу третьего правила согласен - sport. Набора правил как такового нет - я его пытаюсь составить с Вашей помощью. Особенно волнует меня вопрос о почтовом сервере - никогда не получалось настроить полноценный сервер
- Фаервол для веб-сервера, AdVv, 23:09 , 19-Апр-10 (5)
>По поводу третьего правила согласен - sport. >Набора правил как такового нет - я его пытаюсь составить с Вашей >помощью. >Особенно волнует меня вопрос о почтовом сервере - никогда не получалось настроить >полноценный сервер Вам нужен грамотный человек, который поможет и объяснит. Пытаться настраивать такие вещи по коротким хау-ту не понимая основ бессмысленно. Их пишут как шпаргалки, предварительно основательно разобравшись в вопросе. Пригласите в гости знакомого админа на пару рюмок пива.
- Фаервол для веб-сервера, handler2006, 23:36 , 19-Апр-10 (6)
Возможно, Вы и правы - конечно же Ваши советы не единственный источник информации, у меня есть консультант по этим вопросам, просто мне и самому интересно разобраться, тем более что я администрирую локальную сеть и в правилах фаервола ориентируюсь неплохо. Меня заинтересовал вопрос: какие нюансы есть у фаервола, который стоит снаружи, которых нет у внутреннего фаервола?
- Фаервол для веб-сервера, AdVv, 00:04 , 20-Апр-10 (7)
>Возможно, Вы и правы - конечно же Ваши советы не единственный источник >информации, у меня есть консультант по этим вопросам, просто мне и >самому интересно разобраться, тем более что я администрирую локальную сеть и >в правилах фаервола ориентируюсь неплохо. >Меня заинтересовал вопрос: какие нюансы есть у фаервола, который стоит снаружи, которых >нет у внутреннего фаервола? Не хочу обидеть, но о каком неплохом знании может идти речь если вы простейшие вещи спрашиваете ? ;) http сервер слушает 80 tcp порт. Вам нужно 1) разрешить входящий траффик с любых адресов на ваш 80 порт 2) разрешить исходящий траффик с 80 порта на любые адреса соответственно smtp сервер слушает 25 tcp порт. Вам нужно 1) разрешить входящий траффик с любых адресов на ваш 25 порт 2) разрешить исходящий траффик с 25 порта на любые адреса А дальше начинаются нюансы. http слушает не только 80, а иногда и 443 порт. И "любые адреса" по хорошему не совсем любые. И желательно проверить чтоб пакеты ходили с правильных интерфейсов. И еще все зависит от того есть ли nat, и еще бывают динамические "stateful" правила. И можно ограничить количество соединений с 1 IP для защиты от спама/DOS атак. Но по большому счету все будет нормально работать даже всего с двумя простыми правилами, которые вы не можете написать самостоятельно.
- Фаервол для веб-сервера, handler2006, 07:35 , 20-Апр-10 (8)
Именно это я и хотел от Вас услышать. А что у нас на 443 порту?
|