Optimale Firewall Script für ISPConfig?

#1
Gibt es ein Optimales Firewall Script für ISPConfig was alle zugriffe verbietet abgesehen von Web,FTP,Mail,SSH ?

Ich denke man kann auch SSH limitieren auf ein paar IPs von denen per SSH zugegriffen werden kann oder?


Grund für diese frage ist da ich im dmesg hab ich auch immer wieder:

[3138004.768971] TCP: Treason uncloaked! Peer 0000:0000:0000:0000:0000:ffff:4fde:b657:1928/80 shrinks window 1042152603:1042158411. Repaired.


Ich schätze dies kommt durch einen Angriff oder durch einen Virus der versucht den server zu nutzen oder liege ich hier falsch?

vielen Dank,
Rene
 
#2
Also *Angriff* würde ich das mal nicht nennen. Weiterhin würde dir auch eine iptables config nicht viel nützen da dein 80er Port ja nach wie vor offen ist.

Ansonsten ist es recht einfach ein iptables script zu erstellen das nur web mail ftp und ssh durchlässt. Hier mal ein Grundscript, FTP passive Ports sind noch hinzuzufügen icmp und pops usw kannste auch hinzufügen.
Ich selber halte allerdings nicht viel davon. Absichern vorhandener Dienste finde ich wichtiger.

Code:
[FONT=monospace]
[/FONT]cat > /etc/network/if-up.d/iptables.active.sh << "EOF"[FONT=monospace]
[/FONT]#!/bin/sh
IPTABLES="/sbin/iptables"

$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 5 -j DROP
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$IPTABLES -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent   --set
$IPTABLES -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent   --update --seconds 120 --hitcount 3 -j DROP
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
EOF
Code:
chmod 700 /etc/network/if-up.d/iptables.active.sh
sh /etc/network/if-up.d/iptables.active.sh
 
Zuletzt bearbeitet:

Werbung

Top