Ubuntu-ru - acces bloc prin ip

Asta sa întâmplat mai întâi.

Acesta este exact ceea ce Fail2Ban face, doar banul meu timp este de 3 ore. Am scris mai sus - imediat după eliminarea interdicției, încercările încep din nou.

iptables pentru mine, din păcate, continuă să fie o pădure întunecată :-( în ciuda citirii manelor și manualelor :-(

--
Sincer, Lyudmila

hostess sau furnizor (probabil că sunt proprii - ruși)

Deschideți această postare în vizualizare cu filet

Re: Blocarea accesului prin IP?

Si ce in acest caz poate face un hostess astfel incat nu pot sa fac? La urma urmei, este posibil în interiorul VPS - să blocheze accesul pe IP. Un cabinet nu oferă administrarea VPS.

--
Sincer, Lyudmila

Deschideți această postare în vizualizare cu filet

Re: Blocarea accesului prin IP?

Deschideți această postare în vizualizare cu filet

Re: Blocarea accesului prin IP?

Ca răspuns la acest post de Ludmila Bandurina

"Ludmila Bandurina" Am scris (a):

În plus, vă rugăm să rețineți: Trebuie să închid acest IP nu numai SSH! Este brutit și admin pe http!

Sau poate pentru acest caz special - este mai bine să acționezi în domeniul juridic? În sensul chemării, unde să mergem.

Ca răspuns la acest mesaj de Ilya Telegin

Dacă o persoană moare, și nu un bot, schimbarea portului 100% nu va ajuta.
Este nmap trivalent -A -v totul va spune. Este ciudat faptul că hosts.deny nu a funcționat.

Exemplu de setare pentru buzunar:

sudo apt-get instala shorewall

Ne uităm la om:
zcat /usr/share/doc/shorewall/README.Debian.gz|less
aflăm de acolo că configurațiile implicite din
(/ usr / share / doc / shorewall / default-config /) și ce trebuie corectat
fișierul / etc / default / shorewall.

Regula / etc / default / shorewall
Pentru a rula startup = 0 schimbați la startup = 1

Configurări de bază:
# ls -1 / etc / shorewall /
interfețe - descrierea interfețelor
Makefile
masq - distribuția Internetului în NAT
politică - politica firewall
reguli - reguli firewall
shorewall.conf - configurația principală (de multe ori nu există nimic în ea
variază, dar dacă, de exemplu, distribuim Internetul în rețeaua internă, atunci
IP_FORWARDING trebuie să fie Da. Sau, de exemplu, televizorul este folosit
multicast, apoi MULTICAST = Da)
shorewall.conf.dpkg-dist
start
zone - zone de firewall

Să începem configurarea:

De exemplu, avem 3 interfețe. Două fizice și una pppoe sau vpn, în
în general: eth0, eth1 și ppp0.

eth0 - localizarea furnizorului
eth1 - rețeaua internă de domiciliu
ppp0 este fie vpn, fie pppoe. În general, Internetul.

Mai întâi, activați IP_FORWARDING în shorewall.conf

zona:
cp / usr / share / doc / shorewall / implicit-config / zone / etc / shorewall /
vi / etc / shorewall / zone

# lokalku
loc ipv4
# rețea internă de domiciliu
nat ipv4
# internet
net ipv4

numele zonei maxim 4 caractere

Atribuim fiecare interfață o interfață:
cp / usr / share / doc / shorewall / implicit-config / interfețe / etc / shorewall /
vi / etc / shorewall // interfețe

loc eth0
nat eth1
net ppp0

Politica firewall:
cp / usr / share / doc / shorewall / default-config / politica / etc / shorewall /
vi / etc / shorewall / politică

# fw este ruterul în sine. Ie mașină locală.
# permiteți să mergeți oriunde
toate ACCEPT
# vom rezolva din rețeaua de domiciliu pentru a merge la Internet și localhost
net ACCEPT
nat loc ACCEPT
# orice altceva scade
toate toate DROP

Reguli firewall:
cp / usr / share / doc / shorewall / implicit-config / rules / etc / shorewall / reguli
vi / etc / shorewall / reguli

# Rezolvăm SSH la router
SSH / ACCEPT toate $ FW
# interzice cu ip 8.8.8.8
SSH / DROP net: 8.8.8.8 $ FW

# permite accesul web la router
Web / ACCEPTA toate $ FW

# Am aruncat portul 3389 pe mașină în rețeaua de domiciliu
DNAT toate nat: 192.168.1.181 tcp 3389
# Același lucru cu macrocomanda finită FTP
FTP / DNAT toate nat: 192.168.1.181

# Activați ping-urile
Ping / Acceptați toate $ FW

Macro-urile pot fi găsite în /usr/share/shorewall/macro.*
de fapt, acestea sunt reguli aproape gata, de exemplu, macro-ul Web:
$ grep -vE '^ $ | ^ #' /usr/share/shorewall/macro.Web
PARAM - - tcp 80 # HTTP (plaintext)
PARAM - - tcp 443 # HTTPS (peste SSL)

Distribuția pe Internet:
vi / etc / shorewall / masq
ppp0 eth1
eth0 eth1

Dacă interfețele au o dimensiune MTU diferită, ar trebui să activați fragmentarea
vi / etc / shorewall / start
iptables -I FORWARD -p tcp -tcp-flags SYN, RST SYN -j TCPMSS
--clamp-mss-to-pmtu
dmesg -n5

A doua linie elimină inundațiile din consola despre asta
README.Debian.gz (pe care am citit-o la început)

Rămâne "să reporniți daemonul". În realitate nu există nici un demon, doar
regulile sunt generate și asta este.
repornirea serviciului shorewall

puteți admira regulile iptables generate

Sau chiar salvați-le cu iptables-salvați și eliminați Shorewall)))


--
Cu stimă,
Alex Emergy

Citire foarte clară și fascinantă!

iptables pentru mine, din păcate, continuă să fie o pădure întunecată :-( în ciuda citirii manelor și manualelor :-(

--
--
Cu cele mai bune urări,
Oleg Anisimov AKA Yoda