A tűzfalat hogyan kell elképzelni egy linux webszerveren? Az egy program? Vagy valamilyen linux szolgáltatás, amit be kell állítani? S mik azok a portok? Jó lenne, valamilyen egyszerű magyarázat.

Hát erről nagyon sokat lehetne írni. Röviden: van ugye a kernelszintű csomagszűrő. iptables a kulcsszó, gugli köp ezer leírást.

Aztán van a feljebb lévő szinteken is, amik a protokollt vizsgálják, pl zorp. De webszerver esetén ide vehetjük mondjuk a mod_security-t is.

Igen, a kernel az a rendszermag.

A szintek alatt az OSI layereket értem (google: OSI model).

Mint mondtam, minden egyes érintett témáról könyveket lehet írni (írtak is btw), csak a kulcsszavak írtam, hogy el tudj kezdeni keresni a témában.

pl így:

#!/bin/sh

#

#

#

### Első körben kib*szunk mindent

iptables -F

# INPUT iptables Rulez

# A loopbacket azé hagyjuk bent no

iptables -A INPUT -i lo -p all -j ACCEPT

# Meg a kézfogást

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Ittvannak a törpök

iptables -A INPUT -s 10.0.0.0/8 -j DROP

iptables -A INPUT -s 169.254.0.0/16 -j DROP

iptables -A INPUT -s 172.16.0.0/12 -j DROP

iptables -A INPUT -s 127.0.0.0/8 -j DROP

iptables -A INPUT -s 192.168.0.0/24 -j DROP

iptables -A INPUT -s 224.0.0.0/4 -j DROP

iptables -A INPUT -d 224.0.0.0/4 -j DROP

iptables -A INPUT -s 240.0.0.0/5 -j DROP

iptables -A INPUT -d 240.0.0.0/5 -j DROP

iptables -A INPUT -s 0.0.0.0/8 -j DROP

iptables -A INPUT -d 0.0.0.0/8 -j DROP

iptables -A INPUT -d 239.255.255.0/24 -j DROP

iptables -A INPUT -d 255.255.255.255 -j DROP

#Még több SMURF

iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP

iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP

iptables -A INPUT -p icmp -m limit --limit 2/second --limit-burst 2 -j ACCEPT

# Droppoljuk az invalid pocketokat

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A FORWARD -m state --state INVALID -j DROP

iptables -A OUTPUT -m state --state INVALID -j DROP

# floodolo RST csomagok, smurf attack rejection

iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT

# Any*d

# Portsanre 1 nap ban :)

iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP

iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP

# Feloldjuk

iptables -A INPUT -m recent --name portscan --remove

iptables -A FORWARD -m recent --name portscan --remove

# Mindent logolunk

iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"

iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"

iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

# Ezeket szabad

iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 1221 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

# Nem kell pingelni a gépet

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT

# Mindent kib*szunk :)

iptables -A INPUT -j REJECT

################# OUtPUT lánc #############################################

## Loopbacket engedjük

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Meg ezeket is

iptables -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT

iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT

# Pingünk

iptables -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# Mindent kib*szunk

iptables -A OUTPUT -j REJECT

## Nincs forward

iptables -A FORWARD -j REJECT