lyonia писал(а): ↑30.04.2021, 15:40
ты хочешь, как ты говоришь закрыть всё?
так закрой всё как первое правило в списке INPUT, а потом начинай добавлять разрешающие правила, как минимум:
1. локальный хост
2. локальную сеть или часть её (тебе решать)
3. наружную сеть только на нужные тебе порты - 80/443 (может только из выбранных тобою сетей)
Так во первых строчках iptables все сказанное тобой
в точности и наблюдается.
lyonia писал(а): ↑30.04.2021, 15:40
зачем ты играешься с запрещёнными сетями и запрещёнными ip адресами.
По началу этого и небыло, но когда я увидел в логах вебсервера эти попытки подключения всяких непонятных "стукачей", стало неприятно и главное,
непонятно. Как они умудряются пройти сквозь файрвол, несмотря на дефолтные запреты?Вода камень точит.
Теоретически, рано или поздно, кто нибудь из них подобрал бы возможность проникнуть дальше. Зачем, сразу давать им такую возможность, если можно не давать в зародыше. Повторю, меня
напрягает сама ситуация, когда вроде все
ненужное закрыто, а оно все равно умудряется пролезть, не понимаю,
как такое возможно. Или где я ошибся?
lyonia писал(а): ↑30.04.2021, 15:40
не забудь каждая строчка в файрволе нагружает процессор.
Это мне известно, поэтому я и использовал
ipset черные и белые списки, которые не нагружают проц, в отличие от отдельных правил в
iptables Отдельные запретительные правила, я стал добавлять уже потом, чисто для проверки.
Типа, вот я вношу заведомо БАН для сети
45.155.205.27 DROP all -- 45.155.205.27 anywhere
, а оно все равно потом светится в логах вебсервера.
ПОЧЕМУ?
lyonia писал(а): ↑30.04.2021, 15:40
а вообще чего тебе боятся 80 и 443 портов, по мне то не обязательно тебе иметь файрвол на домашнем NATе.
Это не домашняя сеть, а на работе и я не хочу, чтобы всякие левые ее сканировали или пытались залезть. У меня вообще в белом листе
только израильские сети и по идее,
вообще никто не бело-голубые не должны иметь возможность залезть. У меня только единственный вариант напрашивается, что файрвол вообще отключен. Но вроде бы нет, потому что, как только я в первые строчки iptables вносил строчку
DROP all -- 192.168.0.23 anywhere
Меня тут же отрубало от компа вебсервера.
192.168.0.23 - это моя тачка на работе, во внутренней сети, с которой я коннектился к компу сервера по SSH. Значит, все таки, файрвол фунциклирует. Но как то избирательно, своих банит, а чужих нет.
Ниче не понимаю.
Отправлено спустя 1 минуту 25 секунд:
lyonia писал(а): ↑30.04.2021, 16:04
у тебя дома статический адрес?
Нет, но всегда в пределах подсети 176.231.163.0/24
Еще уточню:
Сервер не дома, а на работе, там статический адрес. В скрипте явное разрешение на сеть 176.231.163.0/24, это Партнер, чтобы я из дома мог проверять работу вебсервера.