Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Firewall/iptables default security

 
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer
Precedente :: Successivo  
Autore Messaggio
axelmasok



Registrato: 17/04/18 02:18
Messaggi: 4

MessaggioInviato: Mar Apr 17, 2018 5:40 am    Oggetto: Firewall/iptables default security Rispondi citando

Hi all,
Sorry, my English is better than my Italian. I'm hoping I'll get some responses Wink
Only been using Zeroshell for a few days, it's a great system. Surprised I never heard of it after all these years. I haven't had to work with iptables for more than 10 years...
So I'm not expert in regard to iptables. Back in the day we started with INPUT chain being default DROP, then opening up ports from there. The default in Zeroshell is ACCEPT. I don't care as long as it's securing my home network!
My question is then - how secure or hardened are the iptables rules without adding more rules to the firewall section? Am I protected enough? I don't want to wake up and my server is serving p orn sites.
Using Gibson research Shields Up! web site it shows all ports closed except for 22/80/443 which are responding as stealth. I have 25 open specifically for incoming mail to my mail server. I'm used to seeing all ports as Stealth not Closed. I'll post the iptables output in the next post separate.
Grazie Mille!


L'ultima modifica di axelmasok il Mar Apr 17, 2018 5:53 am, modificato 1 volta
Top
Profilo Invia messaggio privato
axelmasok



Registrato: 17/04/18 02:18
Messaggi: 4

MessaggioInviato: Mar Apr 17, 2018 5:42 am    Oggetto: Rispondi citando

ETH00 - WAN
ETH01 - LAN 192.168.64.0
I put in the ICMP block entry.

Codice:
Chain INPUT (policy ACCEPT 3 packets, 116 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 109K   12M SYS_GUI    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 109K   12M SYS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
   93  4880 SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
48735 7733K SYS_HTTPS  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
11271  593K SYS_SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
   53  1820 DROP       icmp --  ETH00  *       0.0.0.0/0            0.0.0.0/0            state NEW

Chain FORWARD (policy ACCEPT 303 packets, 59253 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 167 packets, 77883 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 151K   34M SYS_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain NetBalancer (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain SYS_DNS (2 references)
 pkts bytes target     prot opt in     out     source               destination         
  485 32176 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain SYS_GUI (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       192.168.64.51        0.0.0.0/0            tcp dpt:12081

Chain SYS_HTTPS (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   99 17228 ACCEPT     all  --  ETH01  *       192.168.0.0/16       0.0.0.0/0           
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain SYS_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
62042 4083K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 2220  366K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 state ESTABLISHED
 1361  337K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:53 state ESTABLISHED
 4218  296K SYS_DNS    udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    8   372 SYS_DNS    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
  370  441K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 state ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:8245 state ESTABLISHED
 1062 80712 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:123 state ESTABLISHED
 107K   13M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain SYS_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
62042 4083K ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
 2224  194K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
  515 28473 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8245
 1170 88920 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123
84870   29M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain SYS_SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
12179  650K ACCEPT     all  --  ETH01  *       192.168.64.0/24      0.0.0.0/0           
  102  4624 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
Top
Profilo Invia messaggio privato
axelmasok



Registrato: 17/04/18 02:18
Messaggi: 4

MessaggioInviato: Gio Apr 19, 2018 10:21 pm    Oggetto: Rispondi citando

Hmmm, no replies. Is it because I'm posting in the Italian forum? I can't register for the English forum. I don't use Fbook/G+/Twitter so can't post there.
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 200

MessaggioInviato: Ven Apr 20, 2018 9:15 pm    Oggetto: Rispondi citando

axelmasok ha scritto:
Hmmm, no replies. Is it because I'm posting in the Italian forum? I can't register for the English forum. I don't use Fbook/G+/Twitter so can't post there.


Hi,

you have tu set:

- Chain Forward DROP
- Chain Forward Open Only user port (80, 433, 35 ad so on)

Router -> Virtual Server: Add port Forwarding from ALL to your internal server (Ip)

... Too fast??
Top
Profilo Invia messaggio privato
axelmasok



Registrato: 17/04/18 02:18
Messaggi: 4

MessaggioInviato: Lun Mag 21, 2018 5:02 am    Oggetto: Rispondi citando

Hey Hey! Thanks for the response!
I will have a play with that in the next few days and see how it goes.
I haven't been hacked yet. That I know of anyway. I have scheduled the FW rules to drop All:All Input/Forw/Output from 11pm to 6am everyday to minimise exposure.
Thanks,
Axel
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Firewall. traffic shaping e net balancer Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it