คำถามติดแท็ก iptables

ฉันพยายามที่จะปลดบล็อคที่อยู่ IP โดยไม่ต้องเริ่มต้น Fail2Ban ใหม่ทุกครั้งวิธีที่ดีที่สุดในการทำเช่นนี้คืออะไร? หรือคุณสามารถชี้ฉันในทิศทางของคู่มือที่มีประโยชน์ได้หรือไม่ อย่างที่คุณเห็นด้านล่างที่อยู่ IP ที่ฉันพยายามลบคือ: 89.31.259.161 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp -- 0.0.0.0/0 …

11 iptables  fail2ban 

ฉันควรโหลดโมดูล iptables ที่ไหนเช่น ip_conntrack และ ip_conntrack_ftp สถานที่ที่ฉันได้พบว่าอาจเป็นผู้สมัคร แต่พวกเขา? ตัวแปร IPTABLES_MODULES ใน /etc/init.d/iptables ใน /etc/modprobe.conf ใน /etc/modprobe.d/xxxx.conf

11 centos  iptables  centos6  modprobe 

สถานการณ์ต่อไปนี้: เราเป็นกลุ่มนักเรียนที่ดูแลการเชื่อมต่ออินเทอร์เน็ตสำหรับหอพักท้องถิ่นโดยมีผู้ใช้งานราว 2,000 คน เรามีระบบจุดรับส่งข้อมูลทุก ๆ MB ที่ลดลงหรืออัปโหลดค่าใช้จ่ายจุดใหม่จะถูกเพิ่มเป็นรายชั่วโมง ในขณะนี้เราบล็อกการเข้าถึงอินเทอร์เน็ตของผู้ใช้เมื่อเขาใช้คะแนนทั้งหมดของเขา (โดยกำหนดให้นโยบายการปฏิเสธใน iptables บนเราเตอร์เกตเวย์ Debian ของเรา) เราต้องการ จำกัด แบนด์วิดท์ของผู้ใช้เท่านั้น วิธีที่ดีที่สุดในการทำเช่นนี้คืออะไร? คำตอบง่ายๆคือตั้งค่า จำกัด อัตราบนพอร์ตสวิตช์ของผู้ใช้ (ส่วนใหญ่เป็น Cisco Catalyst 3550s) อย่างไรก็ตามนี่เป็นสิ่งที่ไม่พึงประสงค์เนื่องจากปริมาณการใช้ข้อมูลภายในเครือข่ายของเราและเครือข่ายมหาวิทยาลัยควรไม่ จำกัด มีวิธี จำกัด แบนด์วิดท์เฉพาะสำหรับแพ็คเก็ตที่มีปลายทางหรือช่วง IP ต้นทาง (เช่นทั้งการเข้าและออก) ใน Cisco IOS หรือไม่ ฉันหาอะไรไม่เจอ อีกวิธีหนึ่งคือการควบคุมปริมาณการใช้งานบนเราเตอร์เกตเวย์ของเรา การแก้ปัญหาหลายอย่างในใจฉัน: tc หรือ tcng - ดูเหมือนว่าทั้งสองมีไวยากรณ์ที่เป็นความลับมากกว่าและไม่มีคุณสมบัติที่ดีสำหรับการควบคุมการรับส่งข้อมูลต่อ IP QDisc โดยเฉพาะสำหรับคนจำนวนมากอาจทำให้เราเตอร์ค่อนข้างช้า นอกจากนี้เอกสารเกี่ยวกับทั้งคู่ค่อนข้างล้าสมัย shorewall …

11 linux  networking  cisco  iptables  traffic-shaping 

ตกลง ... นี่อาจจะเป็นคำตอบโชคไม่ดีที่ฉันไม่พบอะไรที่ดูเหมือนว่ามันอาจจะเป็นความละเอียด ฉันได้ดูหน้าเหล่านี้แล้วและพวกเขามีข้อมูลที่เป็นประโยชน์ แต่ไม่ได้แก้ปัญหาให้สมบูรณ์: โหลดบาลานซ์ & NAT-ing เชื่อมต่อ ISP หลายรายการบน Linux สองการเชื่อมต่ออินเทอร์เน็ตและ 1 NIC เป็นไปได้หรือไม่ การเข้าถึงแบบแบ่ง Linux (การเชื่อมต่ออินเทอร์เน็ตหลายจุดพร้อมภาระสมดุล) linux firewall + load balance การเชื่อมต่อ ISP ฉันจะใช้เดเบียน 8, Ubuntu 16.04 เดสก์ท็อปหรือเซิร์ฟเวอร์ Ubuntu 16.04 ตกลงดังนั้นฉันจะมี NIC สามตัวติดตั้งสองกิกะบิตและการเชื่อมต่อ LAN 100 mbps การเชื่อมต่อ ISP จะใช้การ์ด gigabit LAN ผ่านการตรวจสอบความถูกต้องของ PPPoE บน nics ทั้งสอง (หากเป็นไปได้ยิ่งกว่านั้นเป็นอย่างอื่นฉันจะชำระสำหรับโหมดการเชื่อมต่อที่ไม่ใช่ในโมเด็ม …

11 networking  iptables  load-balancing  linux-networking  nat 

ฉันสงสัยว่าบางคนสามารถช่วยฉันด้วยกฎ iptables ต่อไปนี้: เราต้องการอนุญาตการรับส่งข้อมูลใด ๆ และทั้งหมดในพื้นที่ต้นทาง (เช่นบนบนเซิร์ฟเวอร์ที่ใช้ iptables) DNS, HTTP, ฯลฯ ... ทั้งหมดนั้น การเชื่อมต่อใด ๆ ที่เริ่มต้นโดยเซิร์ฟเวอร์ที่ใช้ iptables ควรได้รับอนุญาต ขณะนี้เรากำลังใช้นโยบายเริ่มต้นโดยทั่วไปแล้วยอมรับ ACCEPT ถูกต้องหรือไม่ อินพุตถูกปิดกั้นดังนั้นฉันสมมติว่านี่หมายความว่าการเชื่อมต่อ (ยกเว้นที่เราอนุญาต) ไม่สามารถเริ่มได้เพราะจะลดลงก่อนที่ฝ่ายของเราจะสามารถเข้าถึงนโยบาย OUTPUT ได้หรือไม่ ขออภัยทักษะ iptables ของฉันอ่อนแอ;) ขอบคุณมาก

11 iptables 

คุณจะทำอย่างไรกำหนดค่า IPTables เพื่อที่จะเพียงช่วยให้ SSH ในและช่วยให้ไม่มีการจราจรอื่น ๆ ในหรือออก ? ข้อควรระวังด้านความปลอดภัยใด ๆ ที่ทุกคนสามารถแนะนำได้? ฉันมีเซิร์ฟเวอร์ที่ฉันเชื่อว่าย้ายออกจาก GoDaddy ได้สำเร็จและฉันเชื่อว่าไม่ได้ใช้งานอีกต่อไป แต่ฉันต้องการให้แน่ใจว่าเพียงเพราะ ... คุณไม่เคยรู้ :) โปรดทราบว่านี่เป็นเซิร์ฟเวอร์เฉพาะเสมือนจาก GoDaddy ... นั่นหมายถึงไม่มีการสำรองข้อมูลและไม่รองรับเลย

11 firewall  iptables  godaddy 

ฉันพยายามปรับใช้เซิร์ฟเวอร์ Tomcat ในสภาพแวดล้อม CentOS แต่ไม่ได้รับคำขอ การเรียกใช้งาน startup.sh ทำงานอย่างถูกต้องและบันทึกแสดงว่า tomcat กำลังทำงาน 16-Dec-2016 13:36:58.440 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [http-nio-8080] 16-Dec-2016 13:36:58.444 INFO [main] org.apache.coyote.AbstractProtocol.start Starting ProtocolHandler [ajp-nio-8009] 16-Dec-2016 13:36:58.445 INFO [main] org.apache.catalina.startup.Catalina.start Server startup in 14803 ms เมื่อใช้ netstat เพื่อตรวจสอบพอร์ตการฟังก็จะแสดงเป็นฟัง $netstat -atnp|grep LISTEN tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 3321/java เพื่อข้ามไฟร์วอลล์ฉันเพิ่มกฎที่กำหนดเองที่ …

10 centos  iptables  firewall  tomcat 

เมื่อวานนี้ฉันโพสต์คำถามที่นี่แต่ฉันคิดว่าไม่ชัดเจนเพียงพอในคำพูดของฉัน BTW คำถามนี้ไม่ซ้ำกัน ฉันมีการติดตั้ง AWS VPC ดังนี้ เป้าหมาย / ปัญหา : SSH ไปยังเซิร์ฟเวอร์ A จากอินเทอร์เน็ต และมันไม่ทำงาน เซิร์ฟเวอร์ A อยู่ในซับเน็ตส่วนตัวและด้วยเหตุนี้ฉันต้องการเปิดใช้งาน iptables NATing บนอินสแตนซ์ NAT ของฉันเพื่อที่ฉันจะสามารถ ssh ไปยัง SErver A ได้โดยตรงจากอินเทอร์เน็ต ฉันกำลังติดตามสิ่งนี้และสิ่งนี้ ฉันรันคำสั่งด้านล่างในตัวอย่าง NAT: NAT# iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.1.243:22 การส่งต่อ IP ถูกเปิดใช้งานบนอินสแตนซ์ NAT: …

10 linux  iptables  nat  linux-networking  amazon-vpc 

ฉันรีบูตเซิร์ฟเวอร์ของฉันและมีปัญหาแปลก ๆ เกิดขึ้น ฉันทำงานบน ArchLinux ลูกค้าคือ Ubuntu, Android และ Mac ปัญหาคือว่าการเข้าถึงอินเทอร์เน็ตผ่านลูกค้าจะช้าประมาณ 2ko / s และหยุดช้า แต่การดาวน์โหลดบางสิ่งจากเซิร์ฟเวอร์ไปยังไคลเอนต์โดยตรงนั้นทำด้วยความเร็วเต็ม และเห็นได้ชัดว่าอินเทอร์เน็ตจากเซิร์ฟเวอร์นั้นใช้ความเร็วเต็มที่ (40mo / s) ฉันไม่รู้ว่าเกิดอะไรขึ้นจากการรีบูท แต่ปัญหานี้เกิดขึ้นที่ไคลเอนต์ทั้งหมดและเกี่ยวข้องเฉพาะกับปริมาณการใช้งานที่ openvpn ส่งต่อไปยังอินเทอร์เน็ต แก้ไข: พยายามด้วย TCP ไม่ได้แก้ปัญหา แก้ไข: ทดสอบการตั้งค่าชิ้นส่วน / mtu ต่างๆไม่มีการเปลี่ยนแปลง นี่คือทั้งหมด confs ของฉัน: ╭─<root@Alduin>-</etc/openvpn>-<1:45:07>-◇ ╰─➤ cat Alduin.conf ccd/Thunderaan local 212.83.129.104 port 1194 proto udp dev tun ca …

10 linux  iptables  routing  ip  openvpn 

ฉันมีไฟร์วอลล์ iptables ที่ค่อนข้างง่ายบนเซิร์ฟเวอร์ที่ให้บริการ MySQL แต่ iptables ดูเหมือนจะให้ผลลัพธ์ที่ไม่สอดคล้องกันมาก นโยบายเริ่มต้นของสคริปต์มีดังนี้: iptables -P INPUT DROP จากนั้นฉันสามารถทำให้ MySQL เป็นแบบสาธารณะด้วยกฎต่อไปนี้: iptables -A INPUT -p tcp --dport 3306 -j ACCEPT ด้วยกฎนี้ฉันสามารถเชื่อมต่อ MySQL จาก IP ต้นทางใด ๆ กับ IP ปลายทางใด ๆ บนเซิร์ฟเวอร์ได้โดยไม่มีปัญหา อย่างไรก็ตามเมื่อฉันพยายาม จำกัด การเข้าถึง IP เพียงสามตัวโดยแทนที่บรรทัดด้านบนด้วยสิ่งต่อไปนี้ฉันพบปัญหา (xxx = masked octect): iptables -A INPUT -p tcp --dport …

10 mysql  iptables  ip-aliasing 

เมื่อเร็ว ๆ นี้เราเริ่มทำการทดสอบกับ IPv6 และหนึ่งในปัญหาแรกที่เราต้องพิจารณาคือการจัดการกับชุดไฟร์วอลล์ (Linux iptables / ip6ables) ที่แยกต่างหากสำหรับโปรโตคอลสแต็คทั้งสอง ตรรกะไฟร์วอลล์ของเรานั้นใช้เครือข่ายเฉพาะจุดประสงค์จำนวนมาก (เช่น 10.0.0.0/24 คือเครือข่ายเวิร์กสเตชันของพนักงาน 10.1.0.0/24 เป็นเครือข่ายฐานข้อมูล 10.2.0.0/24 เป็นเครือข่ายเว็บเซิร์ฟเวอร์ ฯลฯ ) และตรรกะสำหรับทั้ง IPv6 และ IPv4 จะเหมือนกันส่วนใหญ่คำนำหน้าเครือข่ายที่แตกต่างกันแบบโมดูโล ผู้คนกำลังทำอะไรในการจัดการสถานการณ์เช่นนี้? นึกคิดฉันต้องการที่จะสามารถสร้างทั้งกฎ iptables และ ip6table จากไฟล์ต้นฉบับเดียวกัน ฉันได้โยนบางสิ่งบางอย่างโดยใช้ทุบตี แต่มันไม่จำเป็นต้องสวยและฉันสงสัยว่าทางออกที่ดีกว่าต้องมีอยู่ที่ไหนสักแห่งออก ฉันจะให้ความสนใจเป็นพิเศษในโซลูชันที่ใช้หุ่นกระบอกซึ่งใช้ประโยชน์จากกลไกการพึ่งพาของ Puppet เพื่อใช้การเรียงลำดับของกฎที่สัมพันธ์กัน (หรือกลุ่มของกฎ)

10 linux  firewall  iptables  ipv6 

แนวคิดของการจัดการiptablesกฎของเรากับ Puppet ได้ถูกนำขึ้นมา ฉันเห็นว่าaugeasมีiptablesเลนส์ แต่กำลังทดลองอยู่ ไม่มีใครมีข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการจัดการนี้ โดยหลักการแล้วฉันต้องการสร้างเครือข่ายตามคลาสของเซิร์ฟเวอร์

10 linux  iptables  configuration  puppet 

ฉันมี VirtualBox VM (ทั้งโฮสต์และแขกผู้ไม่ฝักใฝ่ฝ่ายใด Ubuntu ไม่ฝักใฝ่ฝ่ายใด) ผู้ให้บริการ VPN ของฉันใช้ OpenVPN เพื่อตั้งค่า TUN ฉันต้องการตั้งค่าเพื่อให้ทราฟฟิกจาก VM ไปผ่าน VPN เท่านั้นและจะลดลงหาก VPN ลง (เกิดขึ้น) ข้อเสนอแนะ? iptables-fu ของฉันอ่อนแอเล็กน้อย สิ่งที่ฉันได้ลอง: ใช้ VirtualBox "การสร้างเครือข่ายเท่านั้น" ซึ่งให้ vboxnet0 อินเตอร์เฟสย้อนกลับบนโฮสต์แก่แขก แต่ไม่สามารถรับ iptables / เส้นทางได้ ฉันต้องการหลีกเลี่ยง NAT บน VM เพราะฉันเป็นสองเท่าของ NAT (ISP และเราเตอร์ที่บ้าน) และอีกหนึ่งระดับจะทำให้หัวของฉันป๊อปอัพ ความเป็นไปได้อื่น ๆ : การสลับไปใช้ TAP (อย่างไร) และการเชื่อมต่อกับ …

10 networking  virtualization  vpn  iptables  virtualbox 

ฉันใช้ CentOS 5.3 และต้องการปิดการใช้งานโมดูล nf_conntrack เพื่อปรับปรุงประสิทธิภาพเครือข่ายสำหรับ haproxy ฉันใช้ iptables ด้วยกฎง่ายๆ ฉันไม่ต้องการการติดตามการเชื่อมต่อจริงๆ ฉันกำลังทำงานบนเซิร์ฟเวอร์คลาวด์ Rackspace ดังนั้นฉันจึงไม่สามารถเรียกใช้เคอร์เนลที่กำหนดเองได้ ฉันลองใช้ modprobe แล้ว แต่มันไม่ทำงาน [mmarano@w1 w1]$ sudo modprobe -n -r nf_conntrack FATAL: Module nf_conntrack is in use. [mmarano@w1 w1]$ uname -a Linux w1.somewhere.com 2.6.24-23-xen #1 SMP Mon Jan 26 03:09:12 UTC 2009 x86_64 x86_64 x86_64 GNU/Linux …

10 linux  centos  iptables  kernel-modules 

ผมอยากจะเลือกสมองของชุมชนเกี่ยวกับการรักษาความปลอดภัยเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะเกี่ยวกับการโจมตีแรงเดรัจฉานและการใช้fail2ban VS กำหนดเองiptables มีคำถามที่คล้ายกันสองสามข้อ แต่ไม่มีคำถามใดที่ตอบหัวข้อนี้เพื่อความพึงพอใจของฉัน ในระยะสั้นฉันพยายามหาทางออกที่ดีที่สุดในการรักษาความปลอดภัยเซิร์ฟเวอร์ linux ที่เปิดเผยต่ออินเทอร์เน็ต (เรียกใช้บริการตามปกติ, ssh, เว็บ, อีเมล) จากการโจมตีที่โหดร้าย ฉันมีการจัดการที่ดีเกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์เช่นการล็อค ssh โดยไม่อนุญาตให้มีการล็อกอินรูทหรือรหัสผ่านเปลี่ยนพอร์ตเริ่มต้นมั่นใจว่าซอฟต์แวร์ทันสมัยตรวจสอบไฟล์บันทึกอนุญาตให้โฮสต์บางแห่งเข้าถึงเซิร์ฟเวอร์และใช้ความปลอดภัย เครื่องมือการตรวจสอบเช่นLynis ( https://cisofy.com/lynis/ ) สำหรับการปฏิบัติตามการรักษาความปลอดภัยโดยทั่วไปดังนั้นคำถามนี้ไม่จำเป็นต้องเกี่ยวกับว่าถึงแม้จะป้อนข้อมูลและคำแนะนำที่เป็นยินดีต้อนรับเสมอ คำถามของฉันคือฉันควรใช้โซลูชันใด (fail2ban หรือ iptables) และฉันจะกำหนดค่าได้อย่างไรหรือฉันควรใช้ทั้งสองอย่างร่วมกันเพื่อป้องกันการโจมตีที่โหดร้าย? มีการตอบสนองที่น่าสนใจเกี่ยวกับหัวข้อ ( Denyhosts vs fail2ban vs iptables- วิธีที่ดีที่สุดในการป้องกันการเข้าสู่ระบบกำลังดุร้าย? ) คำตอบที่น่าสนใจที่สุดสำหรับฉันคือ ( https://serverfault.com/a/128964 ) และการกำหนดเส้นทาง iptablesนั้นเกิดขึ้นในเคอร์เนลซึ่งตรงข้ามกับ fail2ban ซึ่งใช้เครื่องมือโหมดผู้ใช้เพื่อแยกวิเคราะห์ไฟล์บันทึก Fail2ban ใช้ iptables แน่นอน แต่ก็ยังต้องแยกวิเคราะห์ไฟล์บันทึกและจับคู่รูปแบบจนกว่าจะดำเนินการ มันสมเหตุสมผลหรือไม่ที่จะใช้ iptables …

10 ssh  security  iptables  fail2ban  brute-force-attacks