Ищу специалиста

Автор Defjam, 24 октября 2012, 18:20:37

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

Defjam

24 октября 2012, 18:20:37
Здравствуйте. Прошу прошение если не там создаю тему.
Ищу специалиста по IPTABLES который поможет собрать цепочку правил (Естественно не бесплатно)
Нужна небольшая защита от школьников. Имеются наброски, нужно обсудить и возможно кое что по править.
Работу оплачу. По прошу отписать мне личку или же написать свои контакты.

gardarea51

#1
24 октября 2012, 20:09:03
Для них мне кажется лучше было бы сделать прозрачный фильтр с белым списком. Или я не так понял про школьников? =) А так - пишите сюда, может я чем смогу - помогу.

Defjam

#2
24 октября 2012, 23:15:29 Последнее редактирование: 24 октября 2012, 23:18:24 от Defjam
Вообщем у меня сервер игровой тематики. Онлайн моо.
Нужно защитить игровые порты и веб.

Вот, примерно вот так, правильно ли стоят правила, что может где по править?
Это сейчас так стоит, был ддос - и задосили пакетами

вот такого вида

Код Выделить
13:42:13.187023 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 178.244.38.1.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.187131 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 69.42.148.121.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.187219 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 180.94.159.82.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.187326 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 199.119.1.101.29003 > 188.40.104.200.29002: S 0:0(0)
win 8192
13:42:13.187414 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 76.119.90.73.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.187501 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 53.54.49.59.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.187601 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 16.213.106.87.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.187688 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 114.99.226.68.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.187789 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 14.97.238.168.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.187877 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 174.83.121.173.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.187977 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 66.80.250.99.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188071 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 94.42.23.191.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188221 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 57.124.170.144.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188254 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 65.94.220.22.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188313 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 101.217.164.95.29003 > 188.40.104.200.29002: S 0:0(0)
win 8192
13:42:13.188340 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 74.245.159.31.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188361 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 121.230.203.199.29003 > 188.40.104.200.29002: S
0:0(0) win 8192
13:42:13.188381 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 152.114.254.37.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188408 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 59.2.176.76.28100 > 188.40.104.200.29000: S 0:0(0)
win 8192
13:42:13.188427 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 204.151.13.117.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.188448 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 96.171.233.86.29003 > 188.40.104.200.29002: S 0:0(0)
win 8192
13:42:13.188474 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 193.128.232.187.29100 > 188.40.104.200.29001: S
0:0(0) win 8192
13:42:13.188494 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 217.44.136.230.29100 > 188.40.104.200.29001: S 0:0(0)
win 8192
13:42:13.188516 00:23:9c:17:34:0b > 00:24:21:ef:32:2d, ethertype IPv4
(0x0800), length 60: 145.223.186.145.29100 > 188.40.104.200.29001: S


вот правила

Код Выделить
# Установленные соединения разрешены
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#...................................
iptables -A INPUT -i eth0 -p tcp --dport 10000:28999 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 29001:39999 -j DROP


# Разрешение локального трафика
iptables -A INPUT -i lo -j ACCEPT

# Ограничение порта ssh и ftp
iptables -A INPUT -p tcp -s 46.0.0.0/8 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 31.41.109.131 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j REJECT
iptables -A INPUT -p tcp -s 46.0.0.0/8 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 82.193.122.176 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 130.0.0.0/8 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 128.74.208.242 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 128.0.0.0/8 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 37.19.137.17 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

# Ограничение порта IWeb, если порт не стандартный, изменить 8080 на свой
iptables -A INPUT -p tcp -s 46.0.0.0/8 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j REJECT

# Ограничение порта протокола SSL (phpnyadmin, если используется данный протокол)
iptables -A INPUT -p tcp 46.0.0.0/8 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j REJECT

# Ограничение порта сервера баз данных
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j REJECT

# Ограничение порта авторизации
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 29200 -j ACCEPT
iptables -A INPUT -p tcp --dport 29200 -j REJECT

# Запрещенные для соединения адреса на игровой порт сервера
iptables -A INPUT -p tcp -s 46.29.119.161 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 46.29.117.53 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 188.186.219.192 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.203 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 82.145.210.158 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 46.159.204.184 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.77.184.84 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.202 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.201 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.204 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 95.135.152.193 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 213.227.217.240 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.204.31.55 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 95.57.153.38 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.255.85.66 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 93.157.47.1 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 212.12.25.147 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 93.127.94.132 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 77.121.60.54 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 188.186.194.118 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 46.29.119.161 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 212.26.247.13 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 95.135.254.164 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 195.60.174.90 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 188.186.219.192 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.203 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 2.94.145.76 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 31.29.134.155 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 78.25.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.178.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.137.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 84.70.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.181.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.178.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 178.219.32.23 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 31.181.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.23.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 95.153.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 93.114.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.45.99.110 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 188.235.158.9 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 178.45.132.126 --dport 29000 -j REJECT


# Разрешение игрового порта сервера
iptables -A INPUT -p tcp --dport 29000 -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j ACCEPT

# Запрещенные для соединения адреса на web-сервер
iptables -A INPUT -p tcp -s 46.29.119.161 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 46.29.117.53 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 188.186.219.192 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.203 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 82.145.210.158 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 46.159.204.184 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.77.184.84 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.202 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.201 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.204 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 95.135.152.193 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 213.227.217.240 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 89.204.31.55 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 95.57.153.38 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.255.85.66 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 93.157.47.1 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 212.12.25.147 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 93.127.94.132 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 77.121.60.54 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 188.186.194.118 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 46.29.119.161 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 212.26.247.13 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 95.135.254.164 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 195.60.174.90 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 188.186.219.192 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.203 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 2.94.145.76 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 31.29.134.155 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 78.25.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.178.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.137.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 84.70.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.181.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.178.0.0 --dport 29000 -j REJECT

# Разрешение порта web-сервера
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Ниже правила настраиваются пользователем под свой тип
# Ограничение количества запросов к порту web-сервера в минуту 10 запросов
iptables -A INPUT -p tcp --dport 80 -m recent --name web --update --seconds 60 --hitcount 10 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent --name web --set -j ACCEPT

# Ограничение количество запросов к серверу авторизации в 30 секунд 5 запросов
iptables -A INPUT -p tcp --dport 29200 -m recent --name auth --update --seconds 30 --hitcount 5 - REJECT
iptables -A INPUT -p tcp --dport 29200 -m recent --name auth --set -j ACCEPT
#iptables -A INPUT -p udp --dport 29200 -m recent --name auth --update --seconds 30 --hitcount 5 - REJECT
#iptables -A INPUT -p udp --dport 29200 -m recent --name auth --set -j ACCEPT

# Ограничение количества запросов к игровому порту сервера в минуту 50 запросов
iptables -A INPUT -p tcp --dport 29000 -m recent --name game --update --seconds 60 --hitcount 50 - REJECT
iptables -A INPUT -p tcp --dport 29000 -m recent --name game --set -j ACCEPT
#iptables -A INPUT -p udp --dport 29000 -m recent --name game --update --seconds 60 --hitcount 50 - REJECT
#iptables -A INPUT -p udp --dport 29000 -m recent --name game --set -j ACCEPT

# Закрытие всего остального
iptables -P INPUT REJECT

exit 0
Сообщение объединено: 24 октября 2012, 23:18:24

Вот еще примеры ддоса что было
Код Выделить
External 110.103.242.208, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 219.253.174.153, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 69.37.143.142, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 14.9.128.245, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 19.107.199.3, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 155.33.254.78, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 30.36.80.154, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 80.49.50.217, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 112.108.224.63, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 158.63.97.60, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 211.101.24.140, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 82.63.35.27, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 126.141.39.49, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 212.40.114.48, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 34.103.187.128, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 218.191.15.38, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 185.97.114.16, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 36.169.38.122, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 90.4.150.186, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 79.21.240.61, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 222.142.130.140, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 121.33.50.188, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 72.138.125.172, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 193.177.232.245, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 78.158.188.1, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 74.249.137.201, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 86.33.22.95, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 55.108.30.215, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 12.109.137.113, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 168.2.246.212, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 89.21.109.154, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 169.98.136.79, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 175.111.233.90, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 203.131.183.51, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 114.12.160.234, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 11.133.170.86, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 13.152.144.204, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 52.91.174.107, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 5.242.45.66, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 77.150.132.58, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 206.43.34.123, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 170.218.193.203, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 107.2.110.132, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 105.107.215.163, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 18.251.39.172, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 161.127.121.3, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 103.112.29.7, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 191.188.37.1, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 170.202.151.208, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)
External 27.133.224.41, 1 flows/300s (0 flows/s), 1.000 packets/300s (3 packets/s), 0,000 GByte/300s (0 MBit/s)

gardarea51

#3
25 октября 2012, 16:50:53
Тут:
Код Выделить
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPTможно убрать ESTABLISHED,RELATED.

Также вижу много правил типа "разрешить, а потом запретить" вроде этого:
Код Выделить
# Ограничение порта сервера баз данных
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j REJECT
Последнее необязательно, пусть пакеты, не попавшие под фильтр - подвергнутся политике по-умолчанию, к примеру DROP. А то все пакеты вынуждены проходить лишние условия в цепочке. Хотя, если к примеру досят на какой-то порт, то лучше как у вас сразу отрезать. Суть в том, чтобы пакеты проходили правила быстрее. Каких пакетов больше всего - те и обрабатывать первыми.

И еще. Зачем используете REJECT, делайте просто DROP. В начало скрипта можете вставить это:
Код Выделить
$IPTABLES -t filter -F
$IPTABLES -t filter -X
$IPTABLES -t mangle -F
$IPTABLES -t nat -F

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROPЭто обнулит все цепочки и поставит умолчально политику DROP. А вот это дело:
Код Выделить
# Запрещенные для соединения адреса на web-сервер
iptables -A INPUT -p tcp -s 46.29.119.161 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 46.29.117.53 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 188.186.219.192 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.203 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 82.145.210.158 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 46.159.204.184 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.77.184.84 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.202 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.201 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.204 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 95.135.152.193 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 213.227.217.240 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 89.204.31.55 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 95.57.153.38 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.255.85.66 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 93.157.47.1 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 212.12.25.147 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 93.127.94.132 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 77.121.60.54 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 188.186.194.118 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 46.29.119.161 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 212.26.247.13 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 95.135.254.164 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 195.60.174.90 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 188.186.219.192 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 94.100.191.203 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 2.94.145.76 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 31.29.134.155 --dport 80 -j REJECT
iptables -A INPUT -p tcp -s 78.25.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.178.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.137.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 84.70.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 94.181.0.0 --dport 29000 -j REJECT
iptables -A INPUT -p tcp -s 89.178.0.0 --dport 29000 -j REJECTпроще было бы наверное дергать скриптом построчного чтения из файла, содержащего ip-шники. Но это уже так, эстетика.

Также было бы неплохо (как в мане) разделить пакеты на tcp/udp для более быстрой их обработки. С того же мана - проверка валидности пакетов:
Код Выделить
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
Тут создается отдельная цепочка bad_tcp_packets, которая проверяет валидность. В нее первым делом можно отправить все tcp-пакеты. Может быть есть какие то иные проверки "правильности" пакетов, но я честно говоря незнаю даже. Да и вполне может быть, что досят вполне "правильными" пакетами.

Могу вам завтра с работы скинуть свой конф офисного шлюза на 2 подсети и инет. Может быть вам он поможет, ну просто посмотрите подход и то вперед. Удаленно составить правила мне наверное не удастся, все таки мелких косячков/опечаток может быть куча и больше. А в режиме "вопрос-ответ" может быть чего-то и состряпаем. =)

Defjam

#4
25 октября 2012, 22:30:01
Я добавил вас в Jabber подтвердите по возможности. И как только будет свободное время отпишите мне пожалуйста.
Буду вас там ждать, или же отпишите мне ваши другие контакты. Спасибо за уже по правленое

gardarea51

#5
26 октября 2012, 09:09:15 Последнее редактирование: 26 октября 2012, 09:16:32 от gardarea51
Вот мой конфиг iptables, тут можно проследить, что первым делом tcp пакеты и отправляются в цепочку валидации. Также в цепочки tc_allow и udp_allow отправляются соответственно tcp/udp - пакеты, однако у меня эти цепочки пока пусты, сделал на всякий случай, вдруг захочу прикрутить dynDNS и цепляться из дома. Эти цепочки сделаны в основном только для скидывания в них пакетов из цепочки INPUT. Для других цепочек такой необходимости нет. Итак вот скрипт:
Код Выделить
#!/bin/bash
IPT="iptables"
LO_IF="lo"
LAN_IF="lan"
CRP_IF="crp"
WAN_IF="wan"
PPP_IF="ppp0"

LO_IP="127.0.0.1"
LAN_IP="192.168.2.1"
CORP_IP="172.16.10.2"
WAN_IP="192.168.1.3"

LAN_IP_RANGE="192.168.2.0/24"
MODEM_INET_IP="192.168.1.1"
FROM_STUDENTS="--src-range 192.168.2.30-192.168.2.254"

#Очистка цепочек, в т.ч. пользовательских
$IPT -t filter -F
$IPT -t filter -X
$IPT -t mangle -F
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

#Создание пользовательских цепочек для стандартной проверки "валидности пакетов" и разрешенных портов для хоста
$IPT -N icmp_validate
$IPT -N tcp_validate
$IPT -N tcp_allow
$IPT -N udp_allow

$IPT -A icmp_validate -p icmp -s 0/0 --icmp-type 8 -m limit --limit 1/s -j ACCEPT
$IPT -A icmp_validate -p icmp -s 0/0 --icmp-type 11 -m limit --limit 1/s -j ACCEPT
$IPT -A icmp_validate --fragment -p icmp -j DROP

$IPT -A tcp_validate -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A tcp_validate -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A tcp_allow -p tcp -j DROP
$IPT -A udp_allow -p udp -j DROP


#Цепочка PREROUTING - транзитные пакеты и пакеты, идущие к хосту
$IPT -t mangle -A PREROUTING -i $PPP_IF -j TTL --ttl-inc 1
#Правила, сразу пропускающие пакеты в корпоративную сеть, без кэширования squid'ом (исключительный случай - фильтрация в nat)
$IPT -t nat -A PREROUTING -i $LAN_IF -p all -s $LAN_IP_RANGE -d 10.0.0.0/8 -j ACCEPT
$IPT -t nat -A PREROUTING -i $LAN_IF -p all -s $LAN_IP_RANGE -d 172.16.0.0/16 -j ACCEPT
$IPT -t nat -A PREROUTING -i $LAN_IF -p all -s $LAN_IP_RANGE -d 93.88.176.0/20 -j ACCEPT
#Заворачивание на squid всех остальных пакетов, идущих из локальной сети, кроме пакетов, идущих на сам хост
$IPT -t nat -A PREROUTING -i $LAN_IF -p tcp -s 192.168.2.10  ! -d 192.168.2.1 -j ACCEPT
$IPT -t nat -A PREROUTING -i $LAN_IF -p tcp -s $LAN_IP_RANGE ! -d 192.168.2.1 -m tcp --dport 80 -j REDIRECT --to-ports 3128

#Цепочка INPUT - пакеты, идущие только к хосту
$IPT -A INPUT -p all -i $LO_IF -j ACCEPT
$IPT -A INPUT -p tcp -j tcp_validate
$IPT -A INPUT -p icmp -i $PPP_IF -j icmp_validate
$IPT -A INPUT -p all -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT
$IPT -A INPUT -p all -i $CRP_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p all -i $PPP_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p tcp -i $PPP_IF -j tcp_allow
$IPT -A INPUT -p udp -i $PPP_IF -j udp_allow
$IPT -A INPUT -p all -i $WAN_IF -s $MODEM_INET_IP -d $WAN_IP -j ACCEPT

#Цепочка FORWARD - транзитные пакеты, идущие по PREROUTING->FORWARD->POSTROUTING в обе стороны
$IPT -A FORWARD -p tcp -j tcp_validate
$IPT -A FORWARD -p icmp -i $PPP_IF -j icmp_validate
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
#Специальное правило для студентов, разрешены только 53,80,123,443 порты
$IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -m multiport --destination-port 53,123,5190,5222,5223 -j ACCEPT
$IPT -A FORWARD -p tcp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -m multiport --destination-port 53,80,443,5190,5222,5223 -j ACCEPT
#$IPT -A FORWARD -p all -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -j LOG --log-level debug --log-prefix ": "
$IPT -A FORWARD -p all -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -j DROP
$IPT -A FORWARD -p all -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT

#Цепочка OUTPUT - пакеты, идущие только от хоста
$IPT -A OUTPUT -p tcp -j tcp_validate
$IPT -A OUTPUT -p all -o $LO_IF -j ACCEPT
$IPT -A OUTPUT -p all -o $LAN_IF -j ACCEPT
$IPT -A OUTPUT -p all -o $CRP_IF -j ACCEPT
$IPT -A OUTPUT -p all -o $PPP_IF -j ACCEPT
$IPT -A OUTPUT -p all -o $WAN_IF -s $WAN_IP -d $MODEM_INET_IP -j ACCEPT

#Цепочка POSTROUTING - пакеты, идущие от хоста и транзитные пакеты
$IPT -t mangle -A POSTROUTING -o $PPP_IF -j TTL --ttl-set 64
$IPT -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $PPP_IF -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $CRP_IF -j SNAT --to-source $CORP_IP
##########################################################################################

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies


ps: Кстати, еще можно задействовать tc (шейпер), к примеру вот здесь и здесь описано подобное. В принципе в качестве комплексной меры можно использовать. Но тут нужно разбираться в том, как настроить шейпер. Я как то давно настраивал, в принципе пример скрипта тоже есть.
Печать
Вверх Страницы1
Действия пользователя