oke balik lagi nih,, langsung aja dah.. wkwkwk
fyi,,ini adalah sesi mengamankan server yang keempat..
Ketiga, limit request.. aku settingnya gini.. 100 packet perdetik dengan pembagian 40.
sudo iptables --new-chain RATE-LIMIT
sudo iptables --append INPUT --match conntrack --ctstate NEW --jump RATE-LIMIT
sudo iptables --append RATE-LIMIT --match limit --limit 100/sec --limit-burst 40 --jump ACCEPT
sudo iptables --append RATE-LIMIT --jump DROP
kamu bisa sesuaiin sendiri.. rules diatas membatasi request perdetik,, jadi client akan dapet bandwith burstable.. kalo ada satu client,, bandwith bisa dipake dia semua, tapi kalo ada client lain,, maka akan dibagi rata.. pernah denger load balancing ??? nah coba direnungkan wkwkwk
Keempat, blok traffic ICMP.
iptables -A INPUT -p icmp -m icmp --icmp-type 255 -j DROP
iptables -A OUTPUT -p icmp -m icmp --icmp-type 255 -j DROP
kok diblok sih,, why?? iyaahh karena banyak informasi berharga yg bisa diperoleh dari protokol ini.. jadi yg berharga harus dilindungi layaknya kamu.. Mungkin kamu pernah denger kan di matkul ISS,, dengan melakukan ping ke server,, dapat memberikan info seberapa jauh kamu dengan server.. berikut menurut study :
format paket datagram ICMP khususnya ICMP Query Message untuk Echo Request dan Echo Reply pada protokol TCP/IP yang berhasil ditangkap oleh Sniffer Ethereal dapat memberikan informasi yang sangat berguna bagi seorang hacker
Kelima, drop invalid packet dan blok portscan.
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A INPUT -m recent --name portscan --rcheck --seconds 600000 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 600000 -j DROP
tujuaannya agar packet yang gak jelas langsung di drop aja dan pelaku portscan akan di blok kurang lebih seminggu.. bisa edit bagian 600ribu second nya..
install iptables-persistent.. dan jadikan persistent..
apt install iptables-persistent
su -c 'iptables-save > /etc/iptables/rules.v4'
su -c 'ip6tables-save > /etc/iptables/rules.v6'
*kalo mau kembali ke rules standard tinggal restore aja..
iptables-restore < ipv4-backup
ip6tables-restore < ipv6-backup
okayy.. udah dulu. oh iya menurutku ini gak penting amat sih,, tapi kalo suka baca,, rules nya ada dimari.. kalo ada yg ditanya WA aja.. bye..