August 8, 2020
ipKungfu - Генерация правил iptables для защиты сервера
Автоматическая генерация правил для межсетевого экрана iptables.
ipKungfu:
Может автоматически создвать правила блокировки для:
- ICMP сообщений;
- Сканирования портов;
- Неправильных пакетов;
- Некоторых видов DDoS-атак;
Устанавливаем:
На примере Debian Stretch.
# apt-get update && apt-get upgrade # apt-get install ipkungfu
Настраиваем:
Ниже представлен листинг основных переменных требующихся для работы.
# nano /etc/ipkungfu/ipkungfu.conf # Внешний интерфейс, к нему подключен интернет. Если не указан, то ipkungfu обнаружит его. EXT_NET="enp0s3" # Внутренний интерфейс. По умолчанию, определяется автоматически. INT_NET="lo" # IP-диапазон внутренней сети. Несколько диапазонов определяется через пробел. LOCAL_NET="192.168.1.46/255.255.255.255" # Наша машина не является шлюзом. GATEWAY=0 - Можно не задавать, т.к. устаревшие переменные. Берутся из /etc/ipkungfu/services.conf. # TCP,UDP-порты, которые вы хотите разрешить для входящего трафика. ALLOWED_TCP_IN="22 80 443" ALLOWED_UDP_IN="1189" # Закрываем нужные порты. FORBIDDEN_PORTS="135 137 139" - ./END # Запрещаем отправку пакетов ping. BLOCK_PINGS=1 # Дропаем подозрительные пакеты (разного рода флуд). SUSPECT="DROP" # Дропаем «неправильные» пакеты (некоторые типы DoS) KNOWN_BAD="DROP" # Запрещаем сканирование портов. PORT_SCAN="DROP"
Готово. Осталось разрешить запуск демона ipkunkfu.
Демон ipKungfu:
# nano /etc/default/ipkungfu IPKFSTART=1 - После чего, запускаем: # ipkungfu
ipTables:
Проверяем работу сервиса ipkungfu.
# iptables -S
August 8, 2020, 06:53
0 views
0 reactions
0 replies
0 reposts