Witam,
pracuje ciezko nad firewallem
pokrotce wyglada on tak:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#blokuje skany
iptables -A skany -p tcp --tcp-flags ALL RST -j DROP
iptables -A skany -p tcp --tcp-flags ALL ACK -j DROP
iptables -A skany -p tcp --tcp-flags ALL FIN -j DROP
#syn flood
iptables -N syn-flood
iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
iptables -A syn-flood -j DROP
#wpuszczam reszte
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#otwieram porty..
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
itd..
te regulki sa sklecone z tego co znalazlem w necie.. nie widaje mi sie ze jest to idealne rozw. bo np. czesto zdarza sie ze mam 50+ polaczen z jednego IP z flaga SYN_RECV.. wyglada na jakis flood.
zrobilem zrzut tcpdumpa:
/tcpdump -i eth1 -C 5 -n -q -s 0 -w /tmp/packet_dump
otworzylem to w wiresharku ale nie bardzo wiem jak sie za to zabrac.. wiem tylko ze jest sporo czerwonego i czarnego
czy ktos moze pomoc?
pzdr.