Как настроить IPTABLE с первого раза?

Question

[Sergei Iamskoi]

Знания по линуксу есть, но не на твердую пятерку. Поставили задачу, закрыть все порты на сервере Debian, а 3306 и 22 - их разрешить только определенным IP. Какие и как выполнить команды по SSH, что бы подключение не закрылось? Сервер удаленный, в далеких заморских землях.

Answer 1

[3vi1_0n3]

Вкратце:
Сначала разрешаешь входящие на 22 порт с определенного адреса и разрешаешь все исходящие

iptables -A INPUT -s <твой IP> -p tcp -m tcp --dport 22 -j ACCEPT

Затем закрываешь все входящие по всем портам
iptables -P INPUT REJECT
После этого соединение отвалиться не должно
После этого разрешаешь входящие по необходимым адресам и портам:

iptables -A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -s <некоторый IP> --dport 22 -j ACCEPT

И так далее
После разрешения необходимых входящих портов можно закрывать исходящие точно так же.
Можно писать это всё в скрипт, а в кроне выставить очистку таблиц каждые 15 минут на случай, если что-то пойдет не так.

Comments

[3vi1_0n3]

P.S. И желательно быть уверенным, что у провайдера не будут проводиться профилактические работы. Я один раз так чуть не поседел, когда сервер за 3 тыщи километров отвалился среди ночи во время настройки фаервола

Answer 2

[Сергей]

короче так. берешь мануал по iptable и читаешь. потом настраиваешь на тестовом стенде. потом еще раз и еще раз. а потом уже где-то в тридевятом царстве. тогда с "первого раза".

Comments

[Sergei Iamskoi]

Согласен с этим, если бы я работал сисадмином, или бы мне это пригодилось в дальнейшем. Работы огромное кол-во, на изучение неизвестно области уйдет добрый кусок.

[Сергей]

syamskoy: короче вы просите вам написать готовое решение потратив при этом личное время людей и сэкономив ваше? так вы тут и народ могёте обидеть

[Egor]

Отличных готовых решений уйма. Вот одно из них: https://serveradmin.ru/nastroyka-iptables-v-centos-7/
А вообще конечно же Ferm.

Answer 3

[Константин]

Вот все советуют использовать iptables , а я посоветую посмотреть на FERM , в дебиан есть такой пакет.
По сути - это удобная надстройка над iptables с некоторыми фичами , например если вы укажете неправильные настройки и потеряеете связь с сервером - ferm их откатит ( ключ --interactive )

Документации по ferm полно, например: habrahabr.ru/post/127184

Answer 4

[Валентин]

Придумать какой-нибудь механизм отката:
1) перезагрузить компьютер через 15 минут, а в эти 15 минут по очереди вбивать правила
2) применить дефолтную конфигурацию iptables-apply или iptables-restore также через 15 минут

Answer 5

[Алексей Черемисин]

Не парить могзк и взять генератор правил для iptables, мне очень нравится firehol, просто и надежно! firehol.org
Вот например конфиг для pptp и локалки с маскарадингом и открытыми нужными портами

interface eth0 mylan
    policy accept

interface ppp+ internet
    server smtp accept
    server http accept
    server ftp  accept
    server ssh  accept src example.firehol.org

    client all  accept

router mylan2internet inface eth0 outface ppp+
    masquerade
    route all accept

Answer 6

[AVKor]

3306 это порт для MySQL. Будет он закрыт или открыт - для доступа по SSH вообще значения не имеет.

А для SSH не обязательно использовать 22. Можно любой свободный. Меняйте его, а потом как угодно экспериментируйте с 22.