En un enrutador como dd-wrt o tomato, ¿cuáles serían algunas reglas predeterminadas de iptables?
Estoy pidiendo reglas en un enrutador / puerta de enlace: por ejemplo; Bloqueando los ataques de inundación SYN, o los ataques de Navidad. Las reglas básicas de iptables que son una necesidad para un enrutador / puerta de enlace. Algo así como el antivirus es "de hecho" al proteger una computadora.
Correcto, entonces esto es una Pregunta difícil tm . Dado que todos los entornos son diferentes, es muy complicado proporcionar un conjunto de reglas de "Un tamaño para todos" en el que se pueda esperar. Cualquier configuración de este tipo, fragmentos de configuración, recomendaciones, etc., deben estar completamente ajustadas y ajustadas para que funcionen en < em> su entorno. Dicho esto, como se explica en la publicación security.blogoverflow.com (y con mucho más detalle), Reglamentos básicos en IPTables , este es un conjunto bastante básico de controles de seguridad que he desarrollado a lo largo de los años y que he estado recomendando a las personas.
## Section 1
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
## Section 2
# Force SYN checks
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# Drop all fragments
-A INPUT -f -j DROP
# Drop XMAS packets
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# Drop NULL packets
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
## Section 3
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
###
# Insert your system specific rules here
###
## Section 4
-A INPUT -j LOG --log-level 7 --log-prefix "IPTABLES Dropped: "
-A INPUT -j DROP
Este es tu bastante básico acepta. En general, solo desea permitir el ping y el tráfico de cualquier host local o, de lo contrario, es posible que las cosas no funcionen como se esperaba.
Esta es una serie de comprobaciones rápidas y sucias de paquetes maliciosos conocidos que pueden causar problemas. La única razón por la que ponemos este segundo es por razones de rendimiento.
Aquí permitimos que entren todos los paquetes que forman parte de una sesión existente. La mayoría de los administradores de firewall dirían que poner esto al comienzo de la configuración, las razones de rendimiento y todo eso. Sin embargo, preferiría que los paquetes no deseados se bloqueen incluso cuando forman parte de una sesión en curso.
Aquí está nuestro registro y denegación predeterminada. La desventaja de poner el mensaje de registro hasta el final aquí, es que no se nos notificará si se desencadenan las caídas. Podríamos subirlo a la parte superior, pero eso podría:
Realmente, es tu elección. Como recomendación genérica, opté por un limpiador para que fuera más fácil de entender.
Creo que el firewall "de facto" más pequeño es el siguiente:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! WAN0 -j ACCEPT
Acepte todas las conexiones iniciadas por su red local y bloquee todo desde el exterior. Es la amplia propagación de reglas de firewall de estado completo como estas que han cambiado los vectores de ataque al navegador y otras vulnerabilidades iniciadas por el usuario / víctima / objetivo.
Si está interesado en las reglas que se ejecutan en Tomato y WRT, puede SSH en esas distribuciones y ver los scripts de firewall.