OpenForum RSS: Правила iptables для веб-сервера https://opennet.ru/openforum/vsluhforumID10/5188.html Здравствуйте.<br><br>Перечитав много информации на эту тему в интернете удалось составить набор правил для веб сервера. Хочется услышать ваши замечания и советы.<br>Наиболее не уверен в блоке Deny synflood, а именно в этих tcp-flags, видел примеры где их позволяют с лимитом в 1 секунду, поэтому не знаю как будет правильно.<br>Также есть сомнение по Deny DoS http&#124;s, видел реализации с использованием limit - limit-burst, тут также не знаю как лучше будет.<br>Сами правила:<br><br>#!/bin/bash<br><br>#Clear all#<br>iptables -F<br>iptables -t nat -F<br>iptables -t mangle -F<br><br>iptables -X<br>iptables -t nat -X<br>iptables -t mangle -X<br><br>#Deny all#<br>iptables -P INPUT DROP<br>iptables -P FORWARD DROP<br>iptables -P OUTPUT ACCEPT<br><br>#Allow local interface#<br>iptables -A INPUT -i lo -j ACCEPT<br><br>#Blacklist#<br>iptables -A INPUT -s 10.0.0.0/8 -j DROP<br>iptables -a INPUT -s 192.0.0.1/24 -j DROP<br>iptables -A INPUT -s 169.254.0.0/16 -j DROP<br>iptables -A INPUT -s 172.16.0.0/12 -j DROP<br>iptables Правила iptables для веб-сервера (1) https://opennet.ru/openforum/vsluhforumID10/5188.html#2 Sat, 07 Sep 2013 15:31:33 GMT а разве в<br><br>#Allow rel, estb#<br>iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT<br><br>#Rules#<br>iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT<br>iptables -A INPUT -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT<br><br>2-4 правила не явлются частным случаем первого? (т.е. не нужны, хотя вроде начало соединения...)<br><br>в начало ставил бы как раз то на что больше трафика придется а это должно быть:<br>iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT<br><br>затем whitelist<br>затем правила по убыванию вероятного трафика по началу соединения<br>iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP<br>#Deny SFTP brut#<br>iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --name SFTP_BRUTE --set<br>iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --name SFTP_BRUTE --update --seconds 30 --hitc Правила iptables для веб-сервера (cssua) https://opennet.ru/openforum/vsluhforumID10/5188.html#1 Fri, 06 Sep 2013 23:47:52 GMT &gt; iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/minute -- <br>&gt; 200 -j ACCEPT <br>&gt; iptables -A INPUT -p tcp --dport 443 -m limit --limit 25/minute --limit-burst <br>&gt; 100 -j ACCEPT <br><br>Лишние (забыл удалить).<br>