Автоматическая генерация правил для межсетевого экрана iptables.
ipKungfu:
Может автоматически создвать правила блокировки для:
- ICMP сообщений;
- Сканирования портов;
- Неправильных пакетов;
- Некоторых видов DDoS-атак;
Устанавливаем:
На примере Debian Stretch.
# apt-get update && apt-get upgrade
# apt-get install ipkungfu
Настраиваем:
Ниже представлен листинг основных переменных требующихся для работы.
# nano /etc/ipkungfu/ipkungfu.conf
# Внешний интерфейс, к нему подключен интернет. Если не указан, то ipkungfu обнаружит его.
EXT_NET="enp0s3"
# Внутренний интерфейс. По умолчанию, определяется автоматически.
INT_NET="lo"
# IP-диапазон внутренней сети. Несколько диапазонов определяется через пробел.
LOCAL_NET="192.168.1.46/255.255.255.255"
# Наша машина не является шлюзом.
GATEWAY=0
- Можно не задавать, т.к. устаревшие переменные. Берутся из /etc/ipkungfu/services.conf.
# TCP,UDP-порты, которые вы хотите разрешить для входящего трафика.
ALLOWED_TCP_IN="22 80 443"
ALLOWED_UDP_IN="1189"
# Закрываем нужные порты.
FORBIDDEN_PORTS="135 137 139"
- ./END
# Запрещаем отправку пакетов ping.
BLOCK_PINGS=1
# Дропаем подозрительные пакеты (разного рода флуд).
SUSPECT="DROP"
# Дропаем «неправильные» пакеты (некоторые типы DoS)
KNOWN_BAD="DROP"
# Запрещаем сканирование портов.
PORT_SCAN="DROP"
Готово. Осталось разрешить запуск демона ipkunkfu.
Демон ipKungfu:
# nano /etc/default/ipkungfu
IPKFSTART=1
- После чего, запускаем:
# ipkungfu
ipTables:
Проверяем работу сервиса ipkungfu.
# iptables -S
