¿Reglas de seguridad predeterminadas de IPTables para una puerta de enlace / enrutador?

2

En un enrutador como dd-wrt o tomato, ¿cuáles serían algunas reglas predeterminadas de iptables?

Estoy pidiendo reglas en un enrutador / puerta de enlace: por ejemplo; Bloqueando los ataques de inundación SYN, o los ataques de Navidad. Las reglas básicas de iptables que son una necesidad para un enrutador / puerta de enlace. Algo así como el antivirus es "de hecho" al proteger una computadora.

    
pregunta Rory Alsop 28.05.2011 - 07:53
fuente

2 respuestas

5

Correcto, entonces esto es una Pregunta difícil tm . Dado que todos los entornos son diferentes, es muy complicado proporcionar un conjunto de reglas de "Un tamaño para todos" en el que se pueda esperar. Cualquier configuración de este tipo, fragmentos de configuración, recomendaciones, etc., deben estar completamente ajustadas y ajustadas para que funcionen en < em> su entorno. Dicho esto, como se explica en la publicación security.blogoverflow.com (y con mucho más detalle), Reglamentos básicos en IPTables , este es un conjunto bastante básico de controles de seguridad que he desarrollado a lo largo de los años y que he estado recomendando a las personas.

## Section 1
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
## Section 2
# Force SYN checks
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# Drop all fragments
-A INPUT -f -j DROP
# Drop XMAS packets
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# Drop NULL packets
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
## Section 3
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
###
# Insert your system specific rules here
###
## Section 4
-A INPUT -j LOG --log-level 7 --log-prefix "IPTABLES Dropped: "
-A INPUT -j DROP

Sección 1

Este es tu bastante básico acepta. En general, solo desea permitir el ping y el tráfico de cualquier host local o, de lo contrario, es posible que las cosas no funcionen como se esperaba.

Sección 2

Esta es una serie de comprobaciones rápidas y sucias de paquetes maliciosos conocidos que pueden causar problemas. La única razón por la que ponemos este segundo es por razones de rendimiento.

Sección 3

Aquí permitimos que entren todos los paquetes que forman parte de una sesión existente. La mayoría de los administradores de firewall dirían que poner esto al comienzo de la configuración, las razones de rendimiento y todo eso. Sin embargo, preferiría que los paquetes no deseados se bloqueen incluso cuando forman parte de una sesión en curso.

Sección 4

Aquí está nuestro registro y denegación predeterminada. La desventaja de poner el mensaje de registro hasta el final aquí, es que no se nos notificará si se desencadenan las caídas. Podríamos subirlo a la parte superior, pero eso podría:

  • Haga que nuestra configuración sea realmente desordenada
  • Abrumar el motor de registro

Realmente, es tu elección. Como recomendación genérica, opté por un limpiador para que fuera más fácil de entender.

    
respondido por el Scott Pack 29.11.2011 - 18:01
fuente
3

Creo que el firewall "de facto" más pequeño es el siguiente:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -i ! WAN0 -j ACCEPT

Acepte todas las conexiones iniciadas por su red local y bloquee todo desde el exterior. Es la amplia propagación de reglas de firewall de estado completo como estas que han cambiado los vectores de ataque al navegador y otras vulnerabilidades iniciadas por el usuario / víctima / objetivo.

Si está interesado en las reglas que se ejecutan en Tomato y WRT, puede SSH en esas distribuciones y ver los scripts de firewall.

    
respondido por el Antonius Bloch 28.05.2011 - 20:19
fuente

Lea otras preguntas en las etiquetas