Tommy_20
24.09.02, 13:54
Ich habe derzeit ein IPTABLES-Script am laufen, welches jedoch nicht mehr macht, als die ports blockt, die nicht durchsollen und nur bestimmte ports zulässt.
Da man aber mit iptables sicher noch etwas genauer sein kann und dadurch die sicherheit weiter erhöhen kann, würde ich mich über jegliche vorschläge sehr freuen ;)
In einer doku hab ich etwas gefunden, womit man bei DoS-Angriffen nicht so leicht in die knie geht (über limit), nur funktioniert das nicht wirklich.
Meine Regeln sind derzeit folgendermaßen aufgebaut:
#######
# SSH #
#######
$IPTABLES -A INPUT -i $EXT -p TCP --sport 22 --dport $highports -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p TCP --sport $highports --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p TCP --sport $highports --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p TCP --sport 22 --dport $highports -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INT -o $EXT -p TCP --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
Da man aber mit iptables sicher noch etwas genauer sein kann und dadurch die sicherheit weiter erhöhen kann, würde ich mich über jegliche vorschläge sehr freuen ;)
In einer doku hab ich etwas gefunden, womit man bei DoS-Angriffen nicht so leicht in die knie geht (über limit), nur funktioniert das nicht wirklich.
Meine Regeln sind derzeit folgendermaßen aufgebaut:
#######
# SSH #
#######
$IPTABLES -A INPUT -i $EXT -p TCP --sport 22 --dport $highports -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXT -p TCP --sport $highports --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p TCP --sport $highports --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT -p TCP --sport 22 --dport $highports -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INT -o $EXT -p TCP --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT