Asta sa întâmplat mai întâi.
Acesta este exact ceea ce Fail2Ban face, doar banul meu timp este de 3 ore. Am scris mai sus - imediat după eliminarea interdicției, încercările încep din nou.
iptables pentru mine, din păcate, continuă să fie o pădure întunecată :-( în ciuda citirii manelor și manualelor :-(
--
Sincer, Lyudmila
hostess sau furnizor (probabil că sunt proprii - ruși)
Deschideți această postare în vizualizare cu filet
Re: Blocarea accesului prin IP?
Si ce in acest caz poate face un hostess astfel incat nu pot sa fac? La urma urmei, este posibil în interiorul VPS - să blocheze accesul pe IP. Un cabinet nu oferă administrarea VPS.
--
Sincer, Lyudmila
Deschideți această postare în vizualizare cu filet
Re: Blocarea accesului prin IP?
Deschideți această postare în vizualizare cu filet
Re: Blocarea accesului prin IP?
Ca răspuns la acest post de Ludmila Bandurina
"Ludmila Bandurina"
În plus, vă rugăm să rețineți: Trebuie să închid acest IP nu numai SSH! Este brutit și admin pe http!
Sau poate pentru acest caz special - este mai bine să acționezi în domeniul juridic? În sensul chemării, unde să mergem.
Ca răspuns la acest mesaj de Ilya Telegin
Dacă o persoană moare, și nu un bot, schimbarea portului 100% nu va ajuta.
Este nmap trivalent -A -v
Exemplu de setare pentru buzunar:
sudo apt-get instala shorewall
Ne uităm la om:
zcat /usr/share/doc/shorewall/README.Debian.gz|less
aflăm de acolo că configurațiile implicite din
(/ usr / share / doc / shorewall / default-config /) și ce trebuie corectat
fișierul / etc / default / shorewall.
Regula / etc / default / shorewall
Pentru a rula startup = 0 schimbați la startup = 1
Configurări de bază:
# ls -1 / etc / shorewall /
interfețe - descrierea interfețelor
Makefile
masq - distribuția Internetului în NAT
politică - politica firewall
reguli - reguli firewall
shorewall.conf - configurația principală (de multe ori nu există nimic în ea
variază, dar dacă, de exemplu, distribuim Internetul în rețeaua internă, atunci
IP_FORWARDING trebuie să fie Da. Sau, de exemplu, televizorul este folosit
multicast, apoi MULTICAST = Da)
shorewall.conf.dpkg-dist
start
zone - zone de firewall
Să începem configurarea:
De exemplu, avem 3 interfețe. Două fizice și una pppoe sau vpn, în
în general: eth0, eth1 și ppp0.
eth0 - localizarea furnizorului
eth1 - rețeaua internă de domiciliu
ppp0 este fie vpn, fie pppoe. În general, Internetul.
Mai întâi, activați IP_FORWARDING în shorewall.conf
zona:
cp / usr / share / doc / shorewall / implicit-config / zone / etc / shorewall /
vi / etc / shorewall / zone
# lokalku
loc ipv4
# rețea internă de domiciliu
nat ipv4
# internet
net ipv4
numele zonei maxim 4 caractere
Atribuim fiecare interfață o interfață:
cp / usr / share / doc / shorewall / implicit-config / interfețe / etc / shorewall /
vi / etc / shorewall // interfețe
loc eth0
nat eth1
net ppp0
Politica firewall:
cp / usr / share / doc / shorewall / default-config / politica / etc / shorewall /
vi / etc / shorewall / politică
# fw este ruterul în sine. Ie mașină locală.
# permiteți să mergeți oriunde
toate ACCEPT
# vom rezolva din rețeaua de domiciliu pentru a merge la Internet și localhost
net ACCEPT
nat loc ACCEPT
# orice altceva scade
toate toate DROP
Reguli firewall:
cp / usr / share / doc / shorewall / implicit-config / rules / etc / shorewall / reguli
vi / etc / shorewall / reguli
# Rezolvăm SSH la router
SSH / ACCEPT toate $ FW
# interzice cu ip 8.8.8.8
SSH / DROP net: 8.8.8.8 $ FW
# permite accesul web la router
Web / ACCEPTA toate $ FW
# Am aruncat portul 3389 pe mașină în rețeaua de domiciliu
DNAT toate nat: 192.168.1.181 tcp 3389
# Același lucru cu macrocomanda finită FTP
FTP / DNAT toate nat: 192.168.1.181
# Activați ping-urile
Ping / Acceptați toate $ FW
Macro-urile pot fi găsite în /usr/share/shorewall/macro.*
de fapt, acestea sunt reguli aproape gata, de exemplu, macro-ul Web:
$ grep -vE '^ $ | ^ #' /usr/share/shorewall/macro.Web
PARAM - - tcp 80 # HTTP (plaintext)
PARAM - - tcp 443 # HTTPS (peste SSL)
Distribuția pe Internet:
vi / etc / shorewall / masq
ppp0 eth1
eth0 eth1
Dacă interfețele au o dimensiune MTU diferită, ar trebui să activați fragmentarea
vi / etc / shorewall / start
iptables -I FORWARD -p tcp -tcp-flags SYN, RST SYN -j TCPMSS
--clamp-mss-to-pmtu
dmesg -n5
A doua linie elimină inundațiile din consola despre asta
README.Debian.gz (pe care am citit-o la început)
Rămâne "să reporniți daemonul". În realitate nu există nici un demon, doar
regulile sunt generate și asta este.
repornirea serviciului shorewall
puteți admira regulile iptables generate
Sau chiar salvați-le cu iptables-salvați și eliminați Shorewall)))
--
Cu stimă,
Alex Emergy
Citire foarte clară și fascinantă!
iptables pentru mine, din păcate, continuă să fie o pădure întunecată :-( în ciuda citirii manelor și manualelor :-(
--
--
Cu cele mai bune urări,
Oleg Anisimov AKA Yoda