Как мне заблокировать все соединения, кроме vpn и ssh, не подвергая опасности состояние моего vps?

Question

У меня есть немного места для VPS, но я получаю много сканирований, основываясь на том, что я вижу в iftop. Я попробовал некоторые вещи iptables, но это становится утомительным и бесполезным, чтобы поместить все ips, которые я вижу в журналах. Я задаюсь вопросом о том, как лучше всего обеспечить постоянное соединение с моим vps, не отключая практически все, пока я не захочу включить его через iptables./

На данный момент у меня есть Debian, и я использую активные Vpn и Ssh. Я хотел бы, чтобы основные вещи +vpn +ssh принимали входящие и исходящие соединения, а остальные могли оставаться вне моего переднего двора.

В основном я ищу список команд, которые могут работать с Debian. Я попробовал кучу вещей, основанных на том, что я видел в сети. Некоторые вещи бросили ошибку, некоторые запутали меня. В любом случае я смог соединить вещи, как принимать соединения по VPN. Мне просто нужен четкий список, я думаю.

Мне не нужно определять один ip, который отвечает за соединения, поэтому порты сделали бы это для меня. Я могу добавить IP-адреса позже сам.

Спасибо

Answer 1

Вот учебник: https://help.ubuntu.com/community/IptablesHowTo

Чтобы подвести итог:

# Allow packets for existing connections (this is required for replies
# from the internet to connections you initiate from the vps):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Allow connecting to SSH, the established session is handled above:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT

# Allow connecting to the VPN server, assuming default OpenVPN w/ TCP:
iptables -A INPUT -p tcp --dport openvpn -j ACCEPT

# Does anybody need to ping you? If you never want to do that:
# iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP
#
# (Almost) All other ICMP is important, don't bother trying to make exceptions:
iptables -A INPUT -p icmp -j ACCEPT

# If you run OpenVPN in UDP mode, want to run traceroute to yourself,
# or use NFS over UDP, accept them here. Remember to explicitly allow replies,
# for services you access.

# Drop everything else. Two ways to do this:
# The common catch-all rule, which makes adding rules later harder
# (need to "-I"nsert instead of "-A"ppend; order matters!):
# iptables -A INPUT -j DROP
#
# Alternatively, set the default policy:
iptables -P INPUT DROP

Тем не менее, я не уверен, что это покупает вас. Пакеты сканирования в любом случае попадут в ваш сетевой интерфейс, поэтому вы сохраняете только исходящие ответы "ничего не слушает на этом порту" (если что-то прослушивает: если вам это не нужно, выключите его, а если вам это нужно, вам нужно разрешить доступ в любом случае), и с несколькими открытыми портами вы все равно не станете невидимыми.

Тем не менее, удачи. Помните, что легко запереть себя случайно и действовать осторожно.