IPTables Firewall Regras #Opnioes

IgorBruttal
(usa Ubuntu)

Enviado em 23/08/2013 - 22:31h

Olá pessoal do VOL Forum, sou novo, acabei de criar a minha conta, eu fiz umas regras em meu firewall IP Tables, e gostaria de opniões de profissionais ou pode ser mesmo de quem entende sobre o mesmo "(IPTables)".
Aqui eu liberei a porta do meu SSH, e do meu SERVIDOR DE JOGO, e as regras estão abaixo, porém, eu tenho algumas dúvidas, entre eth0 e eth1 no meu anti-spoofing, essas coisinhas, ou seja oque estou querendo aqui? Que alguem experiênte, me diga se tem alguma falha nesse firewall, e aonde está, ou como conserta, se algum comando que pode prejudicar algo emvez de solucionar o problema.

Bom, coloquei o código no Pastebin.com porém é grande.
Vejam: http://pastebin.com/2kGCK1Ez

Bom, quem souber oque está errado, se quiser corrigi-lo algumas regras , por favor, reposte no mesmo pastebin.com pra ficar fácil a copiação do mesmo.

Obrigado desde já, aguardo debates, sugestões e até mesmo soluções ^^

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 22:47h

Fiz algumas alterações. Dá uma olhada lá.
O que você não for usar é só apagar ou comentar.

IgorBruttal
(usa Ubuntu)

Enviado em 23/08/2013 - 22:56h

Por favor, coloca no pastebin pra mim, www.pastebin.com e coloca todo o código, você editando lá no meu eu acho que não altera.

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 23:00h

Mas mostrou como alterado.

IgorBruttal
(usa Ubuntu)

Enviado em 23/08/2013 - 23:03h

Provavelmente altera só pra você.

Acesse o site: www.pastebin.com / Cole o código / Coloque um nome para o pastebin, e clica em Submit, e vai gerar um link, me mande.

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 23:09h

http://pastebin.com/pMBD0x9Y

É só uma parte inicial. O que você não precisar você apaga ou comenta.
Adapta para o teu script.

Segue link para o Manual do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

IgorBruttal
(usa Ubuntu)

Enviado em 23/08/2013 - 23:15h

Você acha normal o site ficar offline mesmo com syn cookies ativado? (Quando recebo vários ataques Syn, para não derrubar (o jogo), essa regra: iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Só que tem um porém, o site fica fora do ar, mais o jogo não cai, fica tudo estavel, quando recebo ataques Syn, para não derrubar tudo, eu coloquei essa regra.
Eu já estou usando um firewall fisico da securedservers de 10gbps, e com 1 ataque de 1gbps só no metodo "Syn" está deixando meu site inacessivel. só o metodo SYN, o restante ta sendo bloqueado ou nem faz efeito .-., oque você me fala sobre isso?

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 23:25h

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Comenta ou apaga essa regra, ela faz o próprio firewall derrubar o servidor.
A melhor regra para syn_cookies é a do kernel que está no código que postei.
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Mas perca as esperanças, ataques DoS e DDoS não tem como evitar, somente minimizar.

Teu servidor é Ubuntu?

IgorBruttal
(usa Ubuntu)

Enviado em 23/08/2013 - 23:29h

Sim amigo, eu sei que não há solução, mais não está derrubando ou limitando o trafego do meu servidor, nemhum metodo (UDP, ACK, ICMP, etc..) Qualquer tipo de Flood, é bloqueado, só o "SYN" que está fazendo o site ficar inacessivel, creio que é a regra! Eu estou pagando 250,00R$ por mês em um firewall fisico da "SecuredServers" de 20GBPS pesquisa google, não sei se pode posta sites aqui, todos os ataques vindos , UDP, ICMP, ACK, estão sendo bloqueados ou como eu disse não faz nem efeito (De acordo com meu painel DDoS e DoS da Secured) ele dropa todas conexões, só o SYN que apareçe "SYN RECEBIDO" e tipo... Não bloqueia, o jogo fica 100% ESTAVEL 100% SEM LAG NEMHUM, mais o site fica inacessivel, ou seja, não está derrubando, não está limitando a minha banda, provavelmente a regra que eu to usando do iptables que te falei que eu acho que está fazendo isso, você acha melhor eu apagar todo o "meu" script, e mudar para o seu ou sómente colocar o seu no meu e tirar essa regra que tá deixando derrubar o meu site?
Tipo, quero saber oque você me diz sobre meu script.

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 23:44h

Adapta o código que te enviei.
Faz o seguinte.
Veja o código que enviei e nas proteções do kernel comenta o que não te serve, bem como os módulos. Não precisa levantar todos aqueles módulos.
O código que te enviei está bem didático, adapta ele para você.

Pega o código que enviei e tira os módulos que você não está usando e acrescenta no teu script acima das seguintes linhas:

#Protecao Contra SynFlood
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -f -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A FORWARD -p tcp --syn -j DROP
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 7 -j REJECT

Repare que eu já alterei essa parte do teu script apagando aquela linha. Substitua a parte do teu script acima dessas linhas pelo código que enviei e mantenha as linhas do teu script abaixo dessas.

Porém, a seguinte linha do meu código você pode comentar:
#Desabilitando o tráfego entre as placas
#################################
echo 0 > /proc/sys/net/ipv4/ip_forward

se não comentar, não esqueça de habilitar o tráfego entre as placas ao final do script:
echo 1 > /proc/sys/net/ipv4/ip_forward

Entendeu?

Mas veja bem, cada caso é um caso, você deve ir adaptando e administrando o script do Iptables, pois os ataques mudam sempre, ainda mais em servidor de jogos.
Vá lendo o manual do Iptables, ali você encontra muitas coisas.

IgorBruttal
(usa Ubuntu)

Enviado em 23/08/2013 - 23:58h

Buck, está me ajudando bastante mesmo cara!
Só alterei algumas coisinhas, e liberei as porta de meu jogo e 80 do site, verifica pra mim se não ficou nemhuma falha!!!

http://pastebin.com/fN1k8ufq

@edit
Isso não danifica em nada?
#Libera conexoes de fora para dentro
iptables -A INPUT -p tcp -i eth0 --dport 2743 -j ACCEPT #SSH
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT #WEB

#Libera conexoes de dentro para fora
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT #WEB
iptables -A OUTPUT -p tcp --dport 7171 -j ACCEPT #TIBIA
iptables -A OUTPUT -p tcp --dport 7172 -j ACCEPT #TIBIA2

AGRADEÇO!

Buckminster
(usa Debian)

Enviado em 25/08/2013 - 00:34h

A chain INPUT é para pacotes com destino à própria máquina, ou seja, ao próprio servidor, é para os pacotes que tem o IP da placa de rede do servidor no cabeçalho deles.
A chain OUTPUT é para pacotes que a própria máquina está enviando.
A chain FORWARD é para pacotes que passam pela máquina onde o Iptables está instalado e configurado, no caso, o teu servidor.
Para bloquear tráfego que vem de fora, basicamente você usa as chains INPUT e FORWARD, pois a chain OUTPUT á para pacotes que o próprio servidor envia, ou seja, grosso modo, quando você abre o navegador no servidor, quando você faz um download do servidor, etc.

Raciocine como se o Iptables fosse o porteiro/segurança na porta de um edifício, sendo que esse edifício tem seus apartamentos com suas portas. Tudo que está liberado na lista (script) ele deixa passar. Tudo que está bloqueado ele não deixa passar.
Mas ele tem as políticas padrões e elas são permitir tudo, por isso você deve colocar as políticas padrões das chains INPUT e FORWARD como DROP e da chain OUTPUT como ACCEPT. Daí você vai liberando no script na INPUT e na FORWARD somente o que você quer e bloqueia na OUTPUT somente o que você quer.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

E essas regras devem vir no início, logo depois das regras de limpeza.
A ordem de colocação das regras é importante, pois o Iptables lê as regras de cima para baixo e vai executando, se houver conflito entre duas regras, vale a primeira.
Você pode numerar as regras com a opção -I (iptables -I INPUT 1 -p tcp -i eth0 --dport 2743 -j ACCEPT #SSH; essa regra será adicionada no topo da chain INPUT.
Veja bem, cada chain tem sua ordem de colocação das regras pelo Iptables. A numeração só vale para a própria chain e não interfere nas outras chains.
A opção -A adiciona a regra na sequência em que for colocada no script.

iptables -A INPUT -p tcp -i eth0 --dport 2743 -j ACCEPT #SSH << essa linha está dizendo: iptables adicione (-A) uma regra na chain INPUT (tudo que chega somente para o servidor) no protocolo tcp (-p tcp) entrando (-i, in) pela placa de rede eth0 com destino à porta 2743 é para aceitar (-j jump, alvo ACCEPT).

Agora ficou fácil. As outras linhas deduza você mesmo.

Em relação às portas, a analogia com uma boate (um puteiro) é válida. Se tem fila e gente entrando pela porta, para entrar quem não está na fila somente furando ela e derrubando o porteiro (força bruta).
Num computador o problema não é a porta aberta, mas a porta aberta sem ter nenhum serviço funcionando nela. Enquanto a porta está aberta e tem um serviço passando por ela, é praticamente impossível invadir.
Para ver as portas na tua máquina utilize o nmap do Linux. Leia a man page dele.
Um comando simples para ver as portas que um site utiliza:

# nmap -v -A www.vivaolinux.com.br

Se quiser parar esse comando, use ctrl + c.