IPTables: разрешить только доступ по SSH, ничего больше ни в

Как вы настраиваете IPTables так, чтобы он только позволял входить SSH, и не позволял никакой другой трафик входить или выходить ?

Любые меры предосторожности кто-нибудь может порекомендовать?

У меня есть сервер, который, по моему мнению, был успешно перенесен из GoDaddy, и я считаю, что он больше не используется.

Но я хочу убедиться, потому что ... ты никогда не знаешь. :)

Обратите внимание, что это виртуальный выделенный сервер от GoDaddy ... Это означает, что нет резервного копирования и практически нет поддержки.

firewall iptables godaddy Дискотека
источник

Ответы:

Вам нужно просто установить политику по умолчанию DROP в цепочках INPUT и OUTPUT.

Чтобы включить SSH, вам понадобятся следующие команды:

$ sudo iptables -P INPUT DROP
$ sudo iptables -P OUTPUT DROP
$ sudo iptables -A INPUT -i lo -j ACCEPT
$ sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
$ sudo iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Последние две команды разрешают петлевой трафик, поскольку это требуется для некоторых приложений для правильной работы. Вы можете ограничить доступ по SSH с определенного IP, используя -s source_ipопцию.

Выполнение команд в порядке, показанном выше, приведет к зависанию текущего сеанса SSH. Это потому, что команды iptables вступают в силу немедленно. Вам необходимо выполнить их в сценарии оболочки, чтобы не потерять возможность подключения к вашей машине при их удаленном выполнении.

Халед
источник

--state RELATEDпо последнему правилу нет необходимости; --state ESTABLISHEDдостаточно. Возможно, вы также захотите разрешить DNS-трафик и, возможно, должны разрешить что-либо на интерфейсе обратной связи, или все виды вещей могут вести себя очень странно.

MadHatter

@MadHatter: Да, вы правы, особенно в отношении петлевых вещей :)

Халед

Спасибо, возможно ли получить весь файл от вас? то есть что-то, что я могу скопировать и вставить прямо в / etc / sysconfig / iptables? Я не достаточно опытен в этом, чтобы доверять своей интуиции, чтобы внести правильные изменения.

Дискотека

пс. установить соединение будет принудительно закрыто после первой команды

user956584

Вы должны действительно изменить порядок этих команд. Строки политики должны отображаться как последние. Любой, кто просто скопирует это в ssh-сессию, будет немедленно отключен и отключен

AndreasT

Что-то вроде этого:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT  # or iptables -P INPUT DROP

iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j REJECT # or iptables -P OUTPUT DROP

Mikel
источник

Я думаю, что вы имеете в виду -i loнет -s lo; опять же, ESTABLISHEDв государственных правилах требуется только , и, вероятно, --sport 22там тоже должно быть . Почему все так хотят RELATED?

MadHatter

@MadHatter: О RELATED: Это на самом деле полезно для сопоставления вещей, которые не являются TCP, таких как ответы на пинг и ответы DNS. По крайней мере, я всегда так предполагал.

Стивен Понедельник

Я считаю, что это не будет соответствовать ни одному из них. Это будет соответствовать, например, ответу ICMP, запрещенному администратором, но это примерно так же полезно; и если он не квалифицирован, он будет соответствовать любому связанному трафику, а не только трафику, связанному с предыдущей строкой.

MadHatter

@MadHatter: Думаю, мне придется выполнить несколько тестов, чтобы проверить, правы ли вы. Спасибо, что оспорили мое предположение.

Стивен Понедельник

Да, состояние ESTABLISHED - это все, что нужно для соответствия UDP-ответов UDP и эхо-ответов ICMP.

Стивен Понедельник