Advertisement
Guest User

Untitled

a guest
Nov 4th, 2012
784
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
Bash 2.26 KB | None | 0 0
  1. # Запрещаем подключение к серверу
  2. $IPT -P INPUT DROP
  3. $IPT -P FORWARD ACCEPT
  4. $IPT -P OUTPUT ACCEPT
  5.  
  6. # Позволяем входящие и исходящие соединения, инициированные уже установленными соединениями
  7. $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  8.  
  9. # Открываем свободный доступ для lo интерфейса
  10. $IPT -A INPUT -i lo -j ACCEPT
  11.  
  12. # Блокируем все попытки входящих TCP-соединений не SYN-пакетами
  13. $IPT -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
  14.  
  15. # Открываем доступ к необходимым сервисам
  16. $IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT ## SSH
  17. $IPT -A INPUT -p tcp -m tcp --dport 5900:5999 -j ACCEPT ## VNC
  18. $IPT -A INPUT -p tcp -m tcp --dport 8006 -j ACCEPT ## Proxmox panel
  19.  
  20. # Вводим ограничения для новых подключений по SSH (не больше 4 в минуту)
  21. $IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
  22.  
  23. # Запрещаем запрос имен netbios
  24. $IPT -A INPUT -p tcp --dport 137:139 -j DROP
  25. $IPT -A INPUT -p udp --dport 137:139 -j DROP
  26.  
  27. # Разрешаем определенные ICMP пакеты
  28. $IPT -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
  29. $IPT -A INPUT -p ICMP --icmp-type 11 -j ACCEPT
  30.  
  31. # Отклоняем все с ошибками
  32. $IPT -A INPUT -m state --state INVALID -j DROP
  33.  
  34. # Разрешаем прохождение DHCP запросов через iptables.
  35. $IPT -A INPUT -p udp -m udp --dport 68 --sport 67 -j ACCEPT
  36.  
  37. # Блокируем порт-сканнеры
  38. $IPT -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP
  39. $IPT -A INPUT -m state --state NEW -p tcp --tcp-flags ALL NONE -j DROP
  40.  
  41. # Антиспуффинг
  42. $IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
  43. $IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
  44. $IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
  45. $IPT -N SYN_FLOOD
  46. $IPT -A INPUT -p tcp --syn -j SYN_FLOOD
  47. $IPT -A SYN_FLOOD -m limit --limit 2/s --limit-burst 6 -j RETURN
  48. $IPT -A SYN_FLOOD -j DROP
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement