forum.opennet.ru

Составление сообщения

Исходное сообщение

"iptables проблемма"
Отправлено Xaionaro, 13-Окт-10 18:53

>[оверквотинг удален]
> DNAT --to-destination 192.168.20.4
> iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j
> DNAT --to-destination 192.168.20.4
> iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j
> DNAT --to-destination 192.168.20.5
> iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
> У меня еще вопрос есть по улучшению
> вот тут
> iptables -A INPUT -s 192.168.137.2 -j ACCEPT
> я думаю еще указать интерфейс а то как то тоже по общему?
Если хотите немного комильфо, то тогда делайте более разветлённые правила, используйте multiports. Лично у меня бы данные правила выглядяли бы совсем иначе, т.к. тут постоянно повторяются одни и те же проверки :)
> Тоесть вот так
> iptables -A INPUT -i tap0 -s 192.168.137.2 -j ACCEPT
> А вот ту у меня разрешения пропускать входящий icmp трафик.
> iptables -A INPUT -p icmp -m icmp -j ACCEPT
> Как его можно улучшить какой трафик icmp надо запретить а какой пропустить?
Зависит от того, какие функции выполняет данный роутер.

> Еще сталкнулся с большой проблеммой брутфорса паролей ssh
> Постоянно перебирают пароли.
> Думал сменить порт глупо.
> Ставить отдельный софт не правильно для меня.
> А вот в нете нашел много информации по iptables и по ssh
> brutforce
> Но правила так и не смог применить
Ну тут есть 4 выхода:
1.) сменить порт, что вас не устраивает
2.) использовать внешнюю утилиту fail2ban, что вас не устраивает :)
3.) использовать hashlimit и recent в iptables и банить тех, кто слишком часто шлёт NEW (или по --syn) на 22-ой порт
4.) блокировать ssh и использовать port-knocking.
Лично я в вашем случае использую "3" с возможностью обойти бан через port-knocking. Против бот-нетов, IMHO, подходит идеально.

Исходное сообщение
"iptables проблемма" Отправлено Xaionaro, 13-Окт-10 18:53
>[оверквотинг удален] > DNAT --to-destination 192.168.20.4 > iptables -t nat -A PREROUTING -p tcp -m tcp --dport 2020 -j > DNAT --to-destination 192.168.20.4 > iptables -t nat -A PREROUTING -p tcp -m tcp --dport 110 -j > DNAT --to-destination 192.168.20.5 > iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited > У меня еще вопрос есть по улучшению > вот тут > iptables -A INPUT -s 192.168.137.2 -j ACCEPT > я думаю еще указать интерфейс а то как то тоже по общему? Если хотите немного комильфо, то тогда делайте более разветлённые правила, используйте multiports. Лично у меня бы данные правила выглядяли бы совсем иначе, т.к. тут постоянно повторяются одни и те же проверки :) > Тоесть вот так > iptables -A INPUT -i tap0 -s 192.168.137.2 -j ACCEPT > А вот ту у меня разрешения пропускать входящий icmp трафик. > iptables -A INPUT -p icmp -m icmp -j ACCEPT > Как его можно улучшить какой трафик icmp надо запретить а какой пропустить? Зависит от того, какие функции выполняет данный роутер. > Еще сталкнулся с большой проблеммой брутфорса паролей ssh > Постоянно перебирают пароли. > Думал сменить порт глупо. > Ставить отдельный софт не правильно для меня. > А вот в нете нашел много информации по iptables и по ssh > brutforce > Но правила так и не смог применить Ну тут есть 4 выхода: 1.) сменить порт, что вас не устраивает 2.) использовать внешнюю утилиту fail2ban, что вас не устраивает :) 3.) использовать hashlimit и recent в iptables и банить тех, кто слишком часто шлёт NEW (или по --syn) на 22-ой порт 4.) блокировать ssh и использовать port-knocking. Лично я в вашем случае использую "3" с возможностью обойти бан через port-knocking. Против бот-нетов, IMHO, подходит идеально.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру