Új hozzászólás Aktív témák

• #9430 Intruder2k5 MODERÁTOR ljungberg #9426

  Új Válasz 2009-09-08 21:19:27 #9430

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Intruder2k5

  MODERÁTOR

  válasz ljungberg #9426 üzenetére

  Én ezt így raknám össze:

  insmod ipt_recent
  iptables -D INPUT -j DROP
  iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  iptables -A INPUT -p tcp --dport 6880 -j ACCEPT
  iptables -A INPUT -p udp --dport 6880 -j ACCEPT
  iptables -A INPUT -p tcp --dport 51777:51780 -j ACCEPT
  iptables -A INPUT -p tcp --dport 65534 -j ACCEPT
  iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.1:443
  iptables -A INPUT -j DROP

  Az SSH-nak, és az FTP-nek nem kell külön iptables szabály, ha a webes felületen engedélyezed a távoli elérést, akkor az már intézi a továbbiakat, és ha majd egyszer kikapcsolod, akkor törli is a szabályokat. Ugyanez vonatkozik az SSH és FTP brute force attack védelmére, ezt szintén érdemesebb a webes felületen beállítani. Valamint, nem tudom, hogy mire használod a 51777:51780 port tartományt, és a 65534-es portot... De ha Te sem tudod, akkor töröld ki az erre vonatkozó sorokat is még. Ebben az esetben ez lesz a végleges:

  insmod ipt_recent
  iptables -D INPUT -j DROP
  iptables -A INPUT -p tcp --dport 443 -j ACCEPT
  iptables -A INPUT -p tcp --dport 6880 -j ACCEPT
  iptables -A INPUT -p udp --dport 6880 -j ACCEPT
  iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.1:443
  iptables -A INPUT -j DROP

Új hozzászólás Aktív témák