web-dev-qa-db-ja.com

VPNの状態を危険にさらすことなく、vpnとsshを除くすべての接続をブロックするにはどうすればよいですか?

私はいくつかのvpsスペースを持っていますが、iftopで見たものに基づいてたくさんのスキャンを取得します。私はいくつかのiptablesのものを試しましたが、ログに表示されるすべてのipsを置くのは面倒で役に立たなくなります。 iptablesを介して有効にするまで、ほとんどすべてをオフにしたまま、vpsに安定して接続できるようにするための最良の方法について疑問に思っています。/

現在、私はDebianを使用しており、アクティブなVpnとSshを実行しています。必要不可欠なもの+ vpn + sshが着信接続と発信接続を受け入れ、残りは私の前庭に立ち入らないようにしたいと思います。

基本的に私はDebianで動作するコマンドのリストを探しています。私はネットで見たものに基づいてたくさんのものを試しました。いくつかのものはエラーを投げました、いくつかは私を混乱させました。とにかく、VPNで接続を受け入れるような作業を組み合わせることができました。明確なリストが必要だと思います。

接続を担当する単一のIPを定義する必要がないので、ポートがそれを行います。後で自分でIP宛先を追加できます。

ありがとう

2
yarun can

チュートリアルは次のとおりです。 https://help.ubuntu.com/community/IptablesHowTo

要約すると:

# Allow packets for existing connections (this is required for replies
# from the internet to connections you initiate from the vps):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Allow connecting to SSH, the established session is handled above:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

# Allow connecting to the VPN server, assuming default OpenVPN w/ TCP:
iptables -A INPUT -p tcp --dport openvpn -j ACCEPT

# Does anybody need to ping you? If you never want to do that:
# iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP
#
# (Almost) All other ICMP is important, don't bother trying to make exceptions:
iptables -A INPUT -p icmp -j ACCEPT

# If you run OpenVPN in UDP mode, want to run traceroute to yourself,
# or use NFS over UDP, accept them here. Remember to explicitly allow replies,
# for services you access.

# Drop everything else. Two ways to do this:
# The common catch-all rule, which makes adding rules later harder
# (need to "-I"nsert instead of "-A"ppend; order matters!):
# iptables -A INPUT -j DROP
#
# Alternatively, set the default policy:
iptables -P INPUT DROP

しかし、それがあなたを買うものかどうかはわかりません。スキャンパケットはとにかくネットワークインターフェイスに入るので、アウトバウンドの「このポートで何もリッスンしていない」応答のみを保存します(何かがリッスンしている場合:不要な場合はオフにし、必要な場合はオフにします。とにかくアクセスを許可します)、そしていくつかのポートが開いていると、とにかく見えなくなることはありません。

それでも、頑張ってください。誤って自分を締め出し、注意して進めるのは簡単だということを忘れないでください。

4
Gabe