Установка firewall на yggdrasil сервер

Введение

Сеть yggdrasil открывает много возможноcтей. Однако, иногда она открывает даже то, что хотелось бы не открывать. Не всякий сразу сообразит о дырах в защите, которые предоставляет эта сеть. Запустив yggdrasil вы открываете все порты на своей машине, даже если она закрыта файрволом где-то на уровне роутера или провайдера. Вот понятная инструкция по установке защиты. Все команды ниже нужно выпулнять от рута.

1. Убираем все правила, если надо. Если не знаете - тоже убираем.

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -t nat -F
ip6tables -t mangle -F
ip6tables -F
ip6tables -X

2. Устанавливаем защиту. В данном случае мы оставляем открытыми только ssh и http порты. Все остальные закрываем.

ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -I INPUT 1 -i lo -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT

3. Проверяем. Должно показать примерно то же самое, но в других выражениях.

ip6tables -L

4. Теперь эту конфигурацию нужно сохранить.

ip6tables-save > /etc/ip6tables.conf

5. Готово. Для того, чтобы поднять защиту, сразу после старта системы нужно выполнить команду

ip6tables-restore < /etc/ip6tables.conf

Заключение

Некоторые системы, например Федора или RH имеют сервис iptables.service или firewalld.service, который стартует при загрузке и устанавливает файрвол по своему усмотрению. Если вы за НАТом, то это дело можно смело отключить. Можно также дополнить этот стандартный сервис тем, что я написал выше.

yggdrasil/firewall_setup.txt · Последние изменения: 2021/02/14 14:42 — newbie
 
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki