Rapaz... funfou!!!
Vlw mesmo :)))
Oq vc achou desse fire?
Acaha q tem brechas.. tem sugestão para melhora-lo?
abraço e obrigado pela força!
João
Versão Imprimível
Rapaz... funfou!!!
Vlw mesmo :)))
Oq vc achou desse fire?
Acaha q tem brechas.. tem sugestão para melhora-lo?
abraço e obrigado pela força!
João
Sim. tem algumas coisas redudantes, quando voce jah poem a politica default em drop, nao precisa sair dropando quesitos especificos como:
Posso estar cego, mas voce cria uma chain chamada VALID_CHECK e nao a utiliza, waste of memory.Citação:
/sbin/iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
/sbin/iptables -A FORWARD -m unclean -j DROP
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
Isso aqui é uma duplicidade:
iptables -A INPUT -i lo -j ACCEPTCitação:
/sbin/iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
/sbin/iptables -A INPUT -p ALL -s $ip_local -i lo -j ACCEPT
resolve pois se esta entrando na interface de loopback é obvio q é local e somente local, logo nao precisa especificar o ip, voce tem 2 regras q poderiam ser escritas como uma, waste of processing.
suas duas ultimsa regras na chain forward/input
sao inuteis, ou melhor, estao em duplicata, pois a politica default é DROP, e voce repete o DROP no final, é como voce escrever duas vezes -A INPUT -j DROP, logo waste of memory.Citação:
/sbin/iptables -A INPUT -j DROP
/sbin/iptables -A FORWARD -j DROP
Agora quanto a essa regra:
voce esta impondo um limite ao protocolo tcp, nao sei ate que ponto isso pode vai ser bom, inclusive na sua chain de forward, se voce tiver 1000 clientes atras desse firewall... sera q nao vai haver mais de uma conexao tcp por segundo, ainda tem o burst q é de 5 por default, mas pensa nisso, mas bom se nao der problema para voce sem galho, mais interessante seria voce ter isso na chain de input, mas bom isso varia de acordo com a sua infraestrutura, posso estar ate criticando essa parte errada, nao sei exatamente quais sao suas politicas.Citação:
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
Bom nao leve para o lado pessoal hehe, é so uma critica as suas regras, de resto acho que esta tudo tranquilo a principio... so apontei os erros que eu encontrei, nao estou sugerindo melhorias a mais, pois como disse nao conheco a estrutura e nem como funciona, entao é so uma analise superficial. Lembre-se, isso é apenas a minha opniao.
Rapaz... vlw pela força viu....
Ficaram algumas dúvidas.
Sobre meu caso.. esse servidor está na web em um datacenter.
Não tenho nada atrás dele.. ele está na web direto :))
Dúvida:
Se minha politica está assim:
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
Tipo.. td que tiver para FORWARD OU IMPUT q seja DROP é redundancia?
Ex:
/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/sbin/iptables -A INPUT -i eth0 -f -j DROP
É isso mesmo neh?
Agora sobre o que comentou..
Meu servidor é um server web para apache com MySQL.Libero apenas SSH e DNS além da porta 80.
Como poderia melhorar isso aqui:
/sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
É muito bom ter sua ajuda :))
abraço!!!
Johnny
Nesse caso nao eh redundancia nao, como vc tem algumas portas abertas, pode ser q "entre" algum pacote invalido nelas, isso ai vai bloquear (mas coloque essas regras antes das de liberar)Citação:
Postado originalmente por johnny