Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 41
Текст из файла (страница 41)
Система сетевой защиты# Interface 0 incoming syn-flood protectionINTERFACE0_IN_SYN_FLOOD_PROTECTION="yes"INTERFACE0_IN_TCP_CONN_LIMIT="1/s"INTERFACE0_IN_TCP_CONN_LIMIT_BURST="3"# Interface 1 incoming syn-flood protectionINTERFACE1_IN_SYN_FLOOD_PROTECTION="yes"INTERFACE1_IN_TCP_CONN_LIMIT="3/s"INTERFACE1_IN_TCP_CONN_LIMIT_BURST="5"# Network 1 forwarded incoming syn-flood protectionNETWORK1_IN_SYN_FLOOD_PROTECTION="yes"NETWORK1_IN_TCP_CONN_LIMIT="5/s"NETWORK1_IN_TCP_CONN_LIMIT_BURST="7"Установка значения параметра SYN_FLOOD_PROTECTION="yes" включает защиту от SYN-атак.ПараметрыINTERFACE0_IN_TCP_CONN_LIMIT="1/s"INTERFACE0_IN_TCP_CONN_LIMIT_BURST="3"ограничивают минимально допустимое число пакетов (в рассматриваемом примере – три), пропускаемыхчерез сетевой интерфейс в единицу времени (в рассматриваемом примере – за 1 секунду).Для включения и конфигурирования проверки потенциально опасных входящих пакетов используются параметры раздела Sanity check:# Sanity check#SANITY_CHECK="yes"# Make sure NEW incoming tcp connections are SYN packetsINTERFACE0_IN_DROP_NEW_WITHOUT_SYN="yes"INTERFACE1_IN_DROP_NEW_WITHOUT_SYN="yes"NETWORK1_IN_DROP_NEW_WITHOUT_SYN="yes"# Drop all incoming fragmentsINTERFACE0_IN_DROP_ALL_FRAGMENTS="yes"INTERFACE1_IN_DROP_ALL_FRAGMENTS="yes"NETWORK1_IN_DROP_ALL_FRAGMENTS="yes"# Drop all incoming malformed XMAS packetsINTERFACE0_IN_DROP_XMAS_PACKETS="yes"INTERFACE1_IN_DROP_XMAS_PACKETS="yes"NETWORK1_IN_DROP_XMAS_PACKETS="yes"# Drop all incoming malformed NULL packetsINTERFACE0_IN_DROP_NULL_PACKETS="yes"INTERFACE1_IN_DROP_NULL_PACKETS="yes"NETWORK1_IN_DROP_NULL_PACKETS="yes"Установка значения параметра SANITY_CHECK="yes" включает проверку.Параметры INTERFACE0_IN_DROP_NEW_WITHOUT_SYN="yes"INTERFACE1_IN_DROP_NEW_WITHOUT_SYN ="yes"NETWORK1_IN_DROP_NEW_WITHOUT_SYN="yes"используются для включения режима, в котором проверяется наличие SYN-бита у всех новых входящих пакетов, новые пакеты без SYN-бита фильтруются, информация о них запоминается в файле регистрации.ПараметрыINTERFACE0_IN_DROP_ALL_FRAGMENTS="yes"Глава 10.
GIPTables Firewall – программное обеспечение для настройки IPTables143INTERFACE1_IN_DROP_ALL_FRAGMENTS="yes"NETWORK1_IN_DROP_ALL_FRAGMENTS="yes"используются для включения режима, в котором отфильтровываются и регистрируются все некорректныепакеты.ПараметрыINTERFACE0_IN_DROP_XMAS_PACKETS="yes"INTERFACE1_IN_DROP_XMAS_PACKETS="yes"NETWORK1_IN_DROP_XMAS_PACKETS="yes"используются для включения режима, в котором отфильтровываются и регистрируются все некорректныеXMAS-пакеты.ПараметрыINTERFACE0_IN_DROP_NULL_PACKETS="yes"INTERFACE1_IN_DROP_NULL_PACKETS="yes"NETWORK1_IN_DROP_NULL_PACKETS="yes"используются для включения режима, в котором отфильтровываются и регистрируются все NULL-пакеты,обычно генерируемые программами-сканерами портов.В заголовках пакетов содержатcя исходный адрес, адрес назначения и тип протокола сообщения(ICMP, UDP или TCP). Наличие в заголовках пакетов исходного адреса и использование его для идентификации отправителя может быть использовано и для получения несанкционированного доступа к системе.Существует, по крайней мере, семь разновидностей исходных адресов, которые должны отфильтровыватьсявнешним (ориентированным в сторону Интернет) интерфейсом (адреса, зарезервированные для локальныхсетей, интерфейса возвратной петли и неиспользуемые Интернет адреса).Для включения и конфигурирования фильтрации пакетов на внешнем интерфейсе системы используйте параметры секции Spoofing and bad addresses.# Spoofing and bad addresses#REFUSE_SPOOFING="yes"# Refuse incoming packets claiming to be from the ip addresses of our interfacesREFUSE_SPOOFING_IPADDR[0]=$INTERFACE0_IPADDRINTERFACE0_IN_REFUSE_SPOOFING[0]="yes"INTERFACE1_IN_REFUSE_SPOOFING[0]="yes"NETWORK1_IN_REFUSE_SPOOFING[0]="yes"REFUSE_SPOOFING_IPADDR[1]=$INTERFACE1_IPADDRINTERFACE0_IN_REFUSE_SPOOFING[1]="yes"INTERFACE1_IN_REFUSE_SPOOFING[1]="yes"NETWORK1_IN_REFUSE_SPOOFING[1]="yes"# Refuse incoming packets claiming to be from broadcast-src address rangeREFUSE_SPOOFING_IPADDR[2]="0.0.0.0/8"# If you provide DHCP services on one of your interfaces, do not forgetto# set the following option related to that interface to "no"INTERFACE0_IN_REFUSE_SPOOFING[2]="yes"INTERFACE1_IN_REFUSE_SPOOFING[2]="yes"NETWORK1_IN_REFUSE_SPOOFING[2]="yes"# Refuse incoming packets claiming to be from reserved loopback addressrangeREFUSE_SPOOFING_IPADDR[3]="127.0.0.0/8"INTERFACE0_IN_REFUSE_SPOOFING[3]="yes"INTERFACE1_IN_REFUSE_SPOOFING[3]="yes"NETWORK1_IN_REFUSE_SPOOFING[3]="yes"# Refuse incoming packets claiming to be from class A private network144Часть 2.
Система сетевой защитыREFUSE_SPOOFING_IPADDR[4]="10.0.0.0/8"INTERFACE0_IN_REFUSE_SPOOFING[4]="yes"INTERFACE1_IN_REFUSE_SPOOFING[4]="yes"NETWORK1_IN_REFUSE_SPOOFING[4]="yes"# Refuse incoming packets claiming to be from class B private networkREFUSE_SPOOFING_IPADDR[5]="172.16.0.0/12"INTERFACE0_IN_REFUSE_SPOOFING[5]="yes"INTERFACE1_IN_REFUSE_SPOOFING[5]="yes"NETWORK1_IN_REFUSE_SPOOFING[5]="yes"# Refuse incoming packets claiming to be from class C private networkREFUSE_SPOOFING_IPADDR[6]="192.168.0.0/16"INTERFACE0_IN_REFUSE_SPOOFING[6]="yes"INTERFACE1_IN_REFUSE_SPOOFING[6]="yes"NETWORK1_IN_REFUSE_SPOOFING[6]="yes"# Refuse incoming packets claiming to be from class D, E, and unallocatedREFUSE_SPOOFING_IPADDR[7]="224.0.0.0/3"INTERFACE0_IN_REFUSE_SPOOFING[7]="yes"INTERFACE1_IN_REFUSE_SPOOFING[7]="yes"NETWORK1_IN_REFUSE_SPOOFING[7]="yes"Параметры:REFUSE_SPOOFING_IPADDR[0],INTERFACE0_IN_REFUSE_SPOOFING[0],INTERFACE1_IN_REFUSE_SPOOFING[0],NETWORK1_IN_REFUSE_SPOOFING[0],REFUSE_SPOOFING_IPADDR[1],INTERFACE0_IN_REFUSE_SPOOFING[1],INTERFACE1_IN_REFUSE_SPOOFING[1],NETWORK1_IN_REFUSE_SPOOFING[1]используются для регистрации и фильтрации входящих пакетов, отправленных якобы с нашего IP-адреса навнутренний и внешние сетевые интерфейсы системы.Параметры:REFUSE_SPOOFING_IPADDR[2],INTERFACE0_IN_REFUSE_SPOOFING[2],INTERFACE1_IN_REFUSE_SPOOFING[2],NETWORK1_IN_REFUSE_SPOOFING[2]используются для регистрации и фильтрации входящих пакетов, адресуемых на широковещательные адреса.Если вы используете DHCP-сервер для автоматического распределения IP-адресов в локальной сети, иливаш провайдер выделяет динамический адрес при подключении к Интернет, не следует включать фильтрацию пакетов, адресуемых на широковещательные адреса.Параметры:REFUSE_SPOOFING_IPADDR[3],INTERFACE0_IN_REFUSE_SPOOFING[3],INTERFACE1_IN_REFUSE_SPOOFING[3],NETWORK1_IN_REFUSE_SPOOFING[3]используются для регистрации и фильтрации входящих пакетов, отправляемых якобы из диапазона адресоввозвратной петли.Параметры:REFUSE_SPOOFING_IPADDR[4],INTERFACE0_IN_REFUSE_SPOOFING[4],INTERFACE1_IN_REFUSE_SPOOFING[4],NETWORK1_IN_REFUSE_SPOOFING[4],REFUSE_SPOOFING_IPADDR[5],INTERFACE0_IN_REFUSE_SPOOFING[5],INTERFACE1_IN_REFUSE_SPOOFING[5],NETWORK1_IN_REFUSE_SPOOFING[5],Глава 10.
GIPTables Firewall – программное обеспечение для настройки IPTables145REFUSE_SPOOFING_IPADDR[6],INTERFACE0_IN_REFUSE_SPOOFING[6],INTERFACE1_IN_REFUSE_SPOOFING[6],NETWORK1_IN_REFUSE_SPOOFING[6],REFUSE_SPOOFING_IPADDR[7],INTERFACE0_IN_REFUSE_SPOOFING[7],INTERFACE1_IN_REFUSE_SPOOFING[7],NETWORK1_IN_REFUSE_SPOOFING[7]используются для регистрации и фильтрации входящих пакетов, отправляемых якобы с адресов, зарезервированных для сетей класса А,В,С,D,E и неиспользуемых IP-адресов.Конфигурирование совместной работы GIPTables Firewall с различными службамиВ GIPTables Firewall имеются модули, обеспечивающие нормальное функционирование типовыхслужб. Эти файлы находятся в каталоге /lib/giptables/modules и имеют имя вида giptaplesservice.
Модули загружаются только, если это предусмотрено (т. е. строки, разрешающие использованиесоответствующих служб, имеются в наличии и раскомментированы) в файле giptables.conf. Вы можете определить, на каком сетевом интерфейсе, в какой сети и с какими соединениями будет работать служба.Для получения списка модулей, наберите:[root@bastion /]# ls –l /lib/giptables/modules-rw------1 rootroot7230 Фев 3 11:16 giptables-ANY-rw------1 rootroot9199 Фев 3 11:16 giptables-AUTH-rw------1 rootroot5465 Фев 3 11:16 giptables-DHCP-rw------1 rootroot13936 Фев 3 11:16 giptables-DNS-rw------1 rootroot7833 Фев 3 11:16 giptables-FINGER-rw------1 rootroot12626 Фев 3 11:16 giptables-FTP-rw------1 rootroot7639 Фев 3 11:16 giptables-HTTP-rw------1 rootroot7746 Фев 3 11:16 giptables-HTTPS-rw------1 rootroot10299 Фев 3 11:16 giptables-ICMP-rw------1 rootroot7651 Фев 3 11:16 giptables-IMAP-rw------1 rootroot7755 Фев 3 11:16 giptables-IMAPS-rw------1 rootroot7596 Фев 3 11:16 giptables-LDAP-rw------1 rootroot7755 Фев 3 11:16 giptables-LDAPS-rw------1 rootroot7537 Фев 3 11:16 giptables-LPD-rw------1 rootroot7763 Фев 3 11:16 giptables-MSSQL-rw------1 rootroot7748 Фев 3 11:16 giptables-MYSQL-rw------1 rootroot6145 Фев 3 11:16 giptables-NETBIOS-rw------1 rootroot7652 Фев 3 11:16 giptables-NNTP-rw------1 rootroot7755 Фев 3 11:16 giptables-NNTPS-rw------1 rootroot7525 Фев 3 11:16 giptables-NTP-rw------1 rootroot7945 Фев 3 11:16 giptables-ORACLE-rw------1 rootroot7636 Фев 3 11:16 giptables-POP3-rw------1 rootroot7748 Фев 3 11:16 giptables-POP3S-rw------1 rootroot8108 Фев 3 11:16 giptablesPOSTGRES-rw------1 rootroot7608 Фев 3 11:16 giptables-SMTP-rw------1 rootroot7761 Фев 3 11:16 giptables-SMTPS-rw------1 rootroot7719 Фев 3 11:16 giptables-SNMP-rw------1 rootroot7761 Фев 3 11:16 giptables-SOCKS-rw------1 rootroot7787 Фев 3 11:16 giptables-SQUID-rw------1 rootroot7569 Фев 3 11:16 giptables-SSH-rw------1 rootroot7834 Фев 3 11:16 giptables-SYSLOG-rw------1 rootroot7832 Фев 3 11:16 giptables-TELNET-rw------1 rootroot7953 Фев 3 11:16 giptables-TELNETS-rw------1 rootroot7367 Фев 3 11:16 giptablesTRACEROUTE-rw------1 rootroot7476 Фев 3 11:16 giptables-VNC-rw------1 rootroot8152 Фев 3 11:16 giptablesWEBCACHE-rw------1 rootroot7728 Фев 3 11:16 giptables-WHOIS-rw------1 rootroot7529 Фев 3 11:16 giptables-X11146Часть 2.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
