iptables — Хорошо, ** теперь ** я делаю его правильно?
Google на "переключателе KVM". Существует много для выбора из в каждом диапазоне цен. Не упустите модели, которые требуют, чтобы так называемые "аппаратные ключи" преобразовали стандартный USB и видеопорты от Ваших машин в разъем адаптера, который принимает KVM. Обычно они используются, чтобы помочь Вам добавить расстояние между компьютерами и переключателем KVM, такими как тип, которые преобразовывают сигналы в формат, который может быть передан по кабелю CAT5. Если Вы не можете (или не хотеть к), сохраняют KVM близко к машинам, можно закончить тем, что тратили больше для кабелей, чем для самого KVM. Присмотреться к ценам. Belkin была около долгого времени. Черный квадрат является также стариком на низкопроизводительной арене.
//spk
Взгляды, хорошие по большей части. Главная вещь состоит в том, что необходимо, вероятно, использовать, iptables-сохраняют и iptables-восстанавливают, а не повторенные выполнения iptables. iptables-save/restore метод дает Вам атомарные массовые обновления (как транзакция базы данных), таким образом, Вы знаете, что ничто не может войти (или НЕ войти), потому что Ваши изменения iptables были наполовину закончены, когда сетевые пакеты прибыли. Внесение этого изменения также позволит, Вы вывести начальную букву ПРИНИМАЕТЕ политики, таким образом, это просто устанавливает предпочтительную политику (предпочтительно для ОТКЛОНЕНИЯ) и затем отдельные правила (исключения, которые ПРИНЯТЫ).
Кроме этого, Вы могли бы хотеть посмотреть на блокировку вниз ICMP немного больше (вместо того, чтобы просто позволить все). Я услышал, что некоторые аспекты ICMP довольно изворотливы в эти дни. Лично, я не думаю, что это стоит того, поскольку так много материала диагностического и управления трафиком зависит от ICMP.
О womble's "не используют iptables" комментарий: Я не сказал бы даже, что Вы не должны использовать iptables (или iptables-save/restore) непосредственно, но я рекомендую смотреть на FERM вместо этого. Это по существу просто iptables, с более выразительным и меньшим количеством повторяющегося языка, плюс переменная поддержка. Например, Ваши команды iptables:
iptables -P INPUT ACCEPT
...
# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Больше походил бы на это в ferm:
# allow some incoming TCP
chain INPUT {
policy ACCEPT;
proto tcp dport (ssh httpd https) ACCEPT;
}
Намного более хороший, ха?;)
Наконец, НЕ выполняйте SSH на порте по умолчанию 22. Переместитесь это к другому адресу (отредактируйте файл конфигурации и перезагрузите sshd). Вы можете сделать это даже, в то время как соединено по ssh, но лучше иметь другой метод доступа при питании с ssh или правилами брандмауэра (основанный на консоли, в соответствии с виртуальными выделенными узлами). Кроме того, изучите установку чего-то как fail2ban в конечном счете. Но я не использовал бы его без фиксированного IP (на моей стороне) и определенные правила брандмауэра предоставить мне доступ независимо от того, что, перед любым блокированием, которое делает fail2ban.
Хорошие взгляды, состояло бы в том, чтобы добавить персональное мое предпочтение
-m state --state NEW
к этим правилам
# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
И измените политику по умолчанию в отношении ВХОДА, ПЕРЕДАЙТЕ ОТБРАСЫВАНИЮ, делая
# Block all other traffic
iptables -A INPUT -j DROP
избыточный
Я сказал бы, что при использовании iptables непосредственно вообще Вы не делаете его правильно.
-
1- 1. большой совет, но ужасный ответ на этот вопрос. это принадлежит комментария. – quack quixote 15 November 2009 в 10:12
-
2
-
3
-
4@womble: очень логичный. Но это - сайт приблизительно компьютеры. Вы don' t должны на самом деле быть компьютер. Предложение: оптимизируйте для любезности, не точности. – Agvorth 15 November 2009 в 21:35
-
5