3 พ.ค. 2559

Set IPTABLES

เปิดการใช้งาน IP Forward ป้องกัน Syn Flood และ อนุญาติให้มีการใช้งานแบบ Dynamic IP (ต่อเนต DSL ทั่วไป)
[root@Lab]#echo 1 > /proc/sys/net/ipv4/ip_forward
[root@Lab]#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
[root@Lab]#echo 1 > /proc/sys/net/ipv4/ip_dynaddr


Drop Packet ก่อนหน้านี้ทั้งหมด
[root@Lab]#iptables -F INPUT
[root@Lab]#iptables -F FORWARD
[root@Lab]#iptables -F OUTPUT
[root@Lab]#iptables -P INPUT DROP
[root@Lab]#iptables -P FORWARD DROP
[root@Lab]#iptables -P OUTPUT ACCEPT
[root@Lab]#iptables -A INPUT -i lo -j ACCEPT

อนุญาติเฉพาะ SSH, SMTP, DNS, Web Services, SSL และ POP3 ให้ผ่านเข้าออก
[root@Lab]#iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@Lab]#iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
[root@Lab]#iptables -A INPUT -p tcp --dport 25 --syn -j ACCEPT
[root@Lab]#iptables -A INPUT -p tcp --dport 53 --syn -j ACCEPT
[root@Lab]#iptables -A INPUT -p udp --dport 53 --syn -j ACCEPT  
[root@Lab]#iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
[root@Lab]#iptables -A INPUT -p tcp --dport 443 --syn -j ACCEPT
[root@Lab]#iptables -A INPUT -p tcp --dport 110 --syn -j ACCEPT

ป้องกันการ scan ports
[root@Lab]#iptables -N check-flags
[root@Lab]#iptables -F check-flags
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP:"
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
[root@Lab]#iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

ป้องกันการ flood SSH (SSH Brute Force)
[root@Lab]#iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
[root@Lab]#iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

ห้าม ping
[root@Lab]#iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j DROP

ห้าม traceroute
[root@Lab]#iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j DROP

Protect Syn Flood
[root@Lab]#iptables-N syn-flood
[root@Lab]#iptables -A syn-flood -i ppp0 -m limit --limit 75/s --limit-burst 100 -j RETURN
[root@Lab]#iptables -A syn-flood -j LOG --log-prefix "SYN-FLOOD: "
[root@Lab]#iptables -A syn-flood -j DROP

REDIRECT PORT 10080 to 80
[root@Lab]#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.xxx.xxx:10080
[root@Lab]#iptables -A FORWARD -p tcp -i ppp0 -d 192.168.xxx.xxx --dport 80 -j ACCEPT (192.168.xxx.xxx = ip ของเรา)
[root@Lab]#iptables -A FORWARD -p tcp -i ppp0 -d 192.168.xxx.xxx --sport 80 -j ACCEPT

Transparent Proxy
[root@Lab]#iptables -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT -to-ports 3128

ไม่มีความคิดเห็น:

แสดงความคิดเห็น