iptables + ipset

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
minime
проходил мимо
Сообщения: 2
Зарегистрирован: 2013-02-02 22:30:25

iptables + ipset

Непрочитанное сообщение minime » 2013-02-02 22:35:03

В связке с iptables + ipset я полный 0. Поэтому прошу Вас помочь мне с этим. Есть много правил на Iptables:

Код: Выделить всё

#!/bin/sh
### Скрипт конфигурации IPTables ###
#--------------СЕРВЕР------------
# Очищаем предыдущие записи
iptables -F
iptables -X
# Разрешаем локальный интерфейс
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Даем доступ в интернет (established and out)
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT  -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Простая защита от DoS-атаки
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Открываем порты
iptables -A INPUT -p udp -m multiport --dports 27015:29015,3784,6100,9987,64738 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 21,22,10011,3784,30033 -j ACCEPT
# Защита от спуфинга
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
# Защита от попытки открыть входящее соединение TCP не через SYN
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
# Закрываемся от кривого icmp
iptables -I INPUT -p icmp -f -j DROP
# Разрешение главных типов протокола ICMP
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT
# Защита сервера SSH от брутфорса
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

# Security of Jo's v2 exploit
iptables -A INPUT -p udp -m udp -m string --hex-string "|a090909090909090901809a5000000|" --algo kmp -j DROP
# Security of new INPUT flooder/doser [v1.0-v1.1]
iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [14.03.2012]: "
iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|d51000806e000000|" --algo kmp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [19.03.2012]: "
iptables -A INPUT -p udp -m udp -m string --hex-string "|d51000806e000000|" --algo kmp -j DROP
# Security of hlbrute
iptables -A INPUT -p udp -m udp -m string --hex-string "|484C4272757465|" --algo kmp -j DROP
# Security of any rcon actions!!!
iptables -A INPUT -p udp -m udp -m string --hex-string "|72636F6E|" --algo kmp -j DROP
# Accept any connect packets (steam > 500bytes)
iptables -A INPUT -p udp -m udp -m string --hex-string "|636f6e6e656374|" --algo kmp -j ACCEPT
# Limit Packets length
iptables -A INPUT -p udp -m udp -m length --length 1:1250 -j ACCEPT
iptables -A INPUT -p udp -m udp -m limit --limit 25/minute --limit-burst 1 -j LOG --log-prefix " [FLOOD] [BIGGEST PACKET]: "
iptables -A INPUT -p udp -m udp -j DROP
# Security from mass IP
iptables -А INPUT -p udp -m udp -m string --hex-string "|FFFFFFFF56|" --algo kmp -j DROP
# Security of INPUTFlood
iptables -A INPUT -p udp -m udp -m string --hex-string "|17c74a30a2fb752396b63532b1bf79b0|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|17951a20e2ab6d63d6ac7d62f1f721e057cd4270e2f1357396f66522f1ed61f0|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|178f5230e2e17d73d6bc6562f1ed29e0|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|d50000806e000000|" --algo kmp -j DROP
iptables -A INPUT -p udp -m udp -m string --hex-string "|ffffffff6765746368616c6c656e6765000000000000|" --algo kmp -j DROP
# Security for TF2 Flood
iptables -A INPUT -p udp -m udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
iptables -A INPUT -p udp -m state --state NEW -m hashlimit --hashlimit 100/s --hashlimit-burst 100 --hashlimit-mode srcip --hashlimit-name TF -j ACCEPT 
iptables -A INPUT -p udp -j DROP 
# Security for CS:S Flood
iptables -A INPUT -p udp -m hashlimit --hashlimit-upto 101/s --hashlimit-mode srcip --hashlimit-name css -j ACCEPT
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -p udp -m length --length 28 -j DROP
# Security for CS:S Socket ProcessAccept Error
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j DROP
# Drop DOS exploit packages for SRCDS games
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff54|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff54|' -j DROP`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff55|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff55|' -j DROP`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff56|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff56|' -j DROP`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff57|' -m limit --limit 1/s --limit-burst 1 -j ACCEPT`
iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ffffffff57|' -j DROP`
Так вот, как эти правила теперь связать с ipset-ом?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: iptables + ipset

Непрочитанное сообщение Alex Keda » 2013-10-19 19:35:29

это всё кривые линуксы
Убей их всех! Бог потом рассортирует...