Шпаргалка - простейшая настройка iptables

Правила по умолчанию

 iptables -F
 iptables -P INPUT ACCEPT
 iptables -P FORWARD ACCEPT
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 iptables -A INPUT -s x.x.x.x -p tcp -m state --state NEW -m tcp -m multiport --dports 22 -m comment --comment "Accessing ssh" -j ACCEPT
 iptables -A INPUT -p icmp -m comment --comment "ACCEPTING PING PACKETS" -m icmp --icmp-type 8/0 -j ACCEPT
 iptables -A INPUT -p icmp -m comment --comment "ACCEPTING TRACERT PACKETS" -m icmp --icmp-type 11 -j ACCEPT
 iptables -A INPUT -m comment --comment "REJECT ALL OTHER" -j REJECT

Сохраняем правила

/etc/init.d/iptables save

Шпаргалка - защита от брутфорса с помощью iptables

В сети наткнулся на простой рецепт защиты SSH от перебора паролей:

iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 4 -j DROP
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
  • первое правило «метит» все входящие на 22 порт SYN-пакеты ;
  • второе правило блокирует четвертый по счету и все следующие за ним пакеты, помеченные первым правилом, и пришедшие за последние 60 секунд ;
  • третье правило разрешает все входящие пакеты на 22 порт ;
 
blog.txt · Последние изменения: 2013/01/23 14:51 — Антон Бугреев · []