The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Фаервол для веб-сервера, !*! handler2006, 19-Апр-10, 09:56  [смотреть все]
Здравствуйте!
По роду своей деятельности пытаюсь администрировать сервер в локальной сети с выходом в интернет.
Теперь у меня возникла задача обеспечить работу веб-сервера в сети интернет со статическим внешним адресом.
Некоторые ньюансы работы с фаерволом в локальной сети мне известны, а вот насчет работы с внешним миром у меня опыта ноль.
Потому прошу Вашего совета в написании фаервола.

iptables -A INPUT -i $EXT_IF -p tcp -dport 80 -j ACCEPT
iptables -A INPUT -i $EXT_IF -j DROP

iptables -A OUTPUT -o $EXT_IF -p tcp -dport 80 -j ACCEPT
iptables -A OUTPUT -o $EXT_IF -p tcp -j DROP

Полагаю, этих правил достаточно для доступа к серверу извне?
Кроме этих правил я напишу правиля для доступа локальных приложений в интернет, и, возможно, форвардинг для нескольких машин изнутри.
Меня интересует вопрос по поводу отказоустойчивости фаервола в случае атак извне:
возможно, необходимо добавить правила в цепочку инпут, ограничивающие число запросов с одного ип?
Заранее благодарен. Алексей. Днепр.

Ответить | Сообщить модератору
  • Фаервол для веб-сервера, !*! AdVv, 13:39 , 19-Апр-10 (1)
    >
    >Полагаю, этих правил достаточно для доступа к серверу извне?
    >Кроме этих правил я напишу правиля для доступа локальных приложений в интернет,
    >и, возможно, форвардинг для нескольких машин изнутри.
    >Меня интересует вопрос по поводу отказоустойчивости фаервола в случае атак извне:
    >возможно, необходимо добавить правила в цепочку инпут, ограничивающие число запросов с одного
    >ип?
    >Заранее благодарен. Алексей. Днепр.

    Я не силен в синтаксисе IPTABLES но есть подозрение что третье правило бессмысленно. Чтобы можно было сказать это с уверенностью пожалуйста приведите полный набор правил. Ну а по поводу ограничений - не предавайтесь паранойе, оцените насколько интересен ваш сайт для атак извне ;).

    Ответить | Сообщить модератору
  • Фаервол для веб-сервера, !*! tux2002, 15:15 , 19-Апр-10 (2)
    Можно построже немножко:
    iptables -A INPUT -i $EXT_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -A INPUT -i $EXT_IF -j DROP
    iptables -A OUTPUT -o $EXT_IF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -o $EXT_IF -j DROP
    При необходимости вот https://www.opennet.ru/base/net/connlimit_fedora.txt.html

    Ответить | Сообщить модератору
    • Фаервол для веб-сервера, !*! handler2006, 22:54 , 19-Апр-10 (4)
      По поводу третьего правила согласен - sport.
      Набора правил как такового нет - я его пытаюсь составить с Вашей помощью.
      Особенно волнует меня вопрос о почтовом сервере - никогда не получалось настроить полноценный сервер
      Ответить | Сообщить модератору
      • Фаервол для веб-сервера, !*! AdVv, 23:09 , 19-Апр-10 (5)
        >По поводу третьего правила согласен - sport.
        >Набора правил как такового нет - я его пытаюсь составить с Вашей
        >помощью.
        >Особенно волнует меня вопрос о почтовом сервере - никогда не получалось настроить
        >полноценный сервер

        Вам нужен грамотный человек, который поможет и объяснит. Пытаться настраивать такие вещи по коротким хау-ту не понимая основ бессмысленно. Их пишут как шпаргалки, предварительно основательно разобравшись в вопросе. Пригласите в гости знакомого админа на пару рюмок пива.

        Ответить | Сообщить модератору
        • Фаервол для веб-сервера, !*! handler2006, 23:36 , 19-Апр-10 (6)
          Возможно, Вы и правы - конечно же Ваши советы не единственный источник информации, у меня есть консультант по этим вопросам, просто мне и самому интересно разобраться, тем более что я администрирую локальную сеть и в правилах фаервола ориентируюсь неплохо.
          Меня заинтересовал вопрос: какие нюансы есть у фаервола, который стоит снаружи, которых нет у внутреннего фаервола?
          Ответить | Сообщить модератору
          • Фаервол для веб-сервера, !*! AdVv, 00:04 , 20-Апр-10 (7)
            >Возможно, Вы и правы - конечно же Ваши советы не единственный источник
            >информации, у меня есть консультант по этим вопросам, просто мне и
            >самому интересно разобраться, тем более что я администрирую локальную сеть и
            >в правилах фаервола ориентируюсь неплохо.
            >Меня заинтересовал вопрос: какие нюансы есть у фаервола, который стоит снаружи, которых
            >нет у внутреннего фаервола?

            Не хочу обидеть, но о каком неплохом знании может идти речь если вы простейшие вещи спрашиваете ?  ;)

            http сервер слушает 80 tcp порт. Вам нужно
            1) разрешить входящий траффик с любых адресов на ваш 80 порт
            2) разрешить исходящий траффик с 80 порта на любые адреса

            соответственно smtp сервер слушает 25 tcp порт. Вам нужно
            1) разрешить входящий траффик с любых адресов на ваш 25 порт
            2) разрешить исходящий траффик с 25 порта на любые адреса

            А дальше начинаются нюансы. http слушает не только 80, а иногда и 443 порт. И "любые адреса" по хорошему не совсем любые. И желательно проверить чтоб пакеты ходили с правильных интерфейсов. И еще все зависит от того есть ли nat, и еще бывают динамические "stateful" правила. И можно ограничить количество соединений с 1 IP для защиты от спама/DOS атак.
            Но по большому счету все будет нормально работать даже всего с двумя простыми правилами, которые вы не можете написать самостоятельно.

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру