Su un router come dd-wrt o pomodoro, quali sarebbero alcune regole iptables predefinite?
Sto chiedendo regole su un router / gateway - Per esempio; blocco degli attacchi di alluvione SYN o degli attacchi XMAS. Le regole di base di iptables che sono indispensabili per un router / gateway. Un po 'come l'anti-virus è "defacto" quando si protegge un computer.
Bene, quindi questa è una Domanda difficile tm . Dal momento che tutti gli ambienti sono diversi, è molto faticoso fornire un set di regole "One Size Fits All" che ci si può aspettare di inserire. Ogni configurazione, frammento di configurazione, raccomandazioni, ecc. Deve essere completamente grokked e ottimizzata per lavorare in < em> il tuo ambiente . Detto questo, come discusso nel post security.blogoverflow.com (e in modo molto più dettagliato), Base Rulesets in IPTables , questo è un insieme piuttosto semplice di controlli di integrità che ho costruito nel corso degli anni e che ho consigliato alle persone.
## Section 1
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
## Section 2
# Force SYN checks
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# Drop all fragments
-A INPUT -f -j DROP
# Drop XMAS packets
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP
# Drop NULL packets
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP
## Section 3
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
###
# Insert your system specific rules here
###
## Section 4
-A INPUT -j LOG --log-level 7 --log-prefix "IPTABLES Dropped: "
-A INPUT -j DROP
Questa sei accettazioni piuttosto elementari. In generale, vuoi solo consentire il ping e qualsiasi traffico localhost altrimenti le cose potrebbero non funzionare come previsto.
Questa è una serie di controlli rapidi e sporchi per pacchetti noti che possono causare problemi. L'unico motivo per cui abbiamo messo questo secondo è per motivi di prestazioni.
Qui permettiamo a tutti i pacchetti che fanno parte di una sessione esistente di entrare. La maggior parte degli amministratori di firewall direbbe di mettere questo all'inizio della configurazione, i motivi di prestazioni e tutto il resto. Tuttavia, preferirei bloccare i pacchetti anche quando sono parte di una sessione in corso.
Ecco il nostro registro e il rifiuto predefinito. Il rovescio della medaglia di mettere il messaggio di registro fino in fondo qui, è che non verremo avvisati se vengono scoccate le gocce sbagliate. Potremmo spostarlo verso l'alto, ma sarebbe:
In realtà, è una tua scelta. Come raccomandazione generica, ho optato per un addetto alle pulizie in modo che fosse più facile da capire.
Penso che il più piccolo firewall "defacto" sia qualcosa del genere:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! WAN0 -j ACCEPT
Accetta tutte le connessioni avviate dalla tua rete locale e blocca tutto dall'esterno. È l'ampia propagazione di regole firewall statefull come queste che hanno spostato i vettori di attacco sul browser e altri exploit avviati dall'utente / vittima / bersaglio.
Se sei interessato a quali regole sono in esecuzione in Tomato e WRT puoi usare SSH in queste distribuzioni e guardare gli script del firewall.