คำถามติดแท็ก firewall

มีเซิร์ฟเวอร์ที่ไม่มีการป้องกันiptables :ACCEPT all.. อาจมีแอปพลิเคชันที่กำหนดเองบนเซิร์ฟเวอร์นี้ หากเราจำเป็นต้องทำให้เซิร์ฟเวอร์นี้แข็ง (ปฏิเสธทั้งหมดและอนุญาตเฉพาะสิ่งที่แอปพลิเคชันต้องการ) ด้วยกฎ iptables ที่เข้มงวดเราต้องค้นหาด้วยตนเองว่าแอปใดที่ใช้ซึ่งdst/src port/protocolแล้วเราต้องเขียนกฎ iptables สำหรับ พวกเขา .. คำถาม : มีสคริปต์ใดบ้างที่สามารถช่วยรวบรวมข้อมูลเหล่านี้จากเครื่องที่กำลังทำงานอยู่ได้? (จากบันทึกหรือไม่) - และสร้างกฎ iptables โดยอัตโนมัติหรือไม่ เหมือนมีในaudit2allow SELinuxเพียงเพื่อiptables! เครื่องไม่สามารถหยุดทำงานได้! ตัวอย่าง: สคริปต์ "MAGIC" ควรรันสัปดาห์ / เดือนบนเครื่องรวบรวมข้อมูลจากนั้นหลังจากสัปดาห์ / เดือนสคริปต์จะสามารถสร้างไฟล์กฎ iptables ที่เราสามารถใช้ได้ หลายคนอาจได้รับในสถานการณ์เช่นนี้ (วิธีทำให้เซิร์ฟเวอร์แข็งขึ้นเกี่ยวกับ iptables) และมันจะดีมากถ้ามีสคริปต์ / โซลูชันที่สามารถทำได้: \

9 linux  iptables  firewall 

ฉันต้องการเรียกใช้เราเตอร์Torแบบเปิด นโยบายทางออกของฉันจะคล้ายกับReducedExitPolicy แต่ฉันต้องการทำให้เครือข่ายทอร์ใช้ทรัพยากรของฉันในทางที่ผิด กรณีที่ฉันต้องการป้องกันไม่ให้ลูกค้าทำผ่าน Tor: การตอกหนึ่งไซต์ด้วยแพ็คเก็ตจำนวนมาก อุกกาบาต aggresive ของบล็อก IP ทั้งหมด กรณีที่ฉันไม่ต้องการป้องกันไม่ให้ลูกค้าทำผ่าน Tor: อัปโหลดไฟล์ภาพ hudreds สองสามอันไปยังคลาวด์ การขุดทอร์เรนต์ คำถามของฉันคือสามารถทำสิ่งนี้ได้ทั้งหมดและอย่างไร ความคิดแรกของฉันคือไฟร์วอลล์ (Linux / iptables หรือ * BSD / ipfw / pf) - แต่นี่อาจจะไร้ประโยชน์เนื่องจากคุณสมบัติโดยธรรมชาติของเราเตอร์ Onion มีการพัฒนาทีม torproject อย่างต่อเนื่องในหัวข้อนี้หรือไม่? ฉันยังขอคำแนะนำทั่วไปเกี่ยวกับการรักษาความปลอดภัยของโหนดทางออก Tor อัปเดต (ก.ย. 2555) จากคำตอบที่เป็นประโยชน์และงานวิจัยอื่น ๆ ฉันคิดว่าไม่สามารถทำได้ วิธีที่ดีที่สุดที่คุณสามารถทำได้เพื่อหยุดยั้งผู้คนจากการใช้งานโหนดการใช้งานในทางที่ผิดใน DDOS คือการตรวจจับแพ็คเก็ตบ่อยครั้งที่ส่งไปยัง IP เดียว ขีด จำกัด …

9 linux  networking  iptables  firewall  tor 

ฉันมีสองอินเตอร์เฟซบน VPS ของฉันและeth0 eth0:0ฉันต้องการบล็อกแพ็กเก็ตขาเข้าบนพอร์ต 80 บนeth0:0โดยใช้ iptables ฉันลองสิ่งนี้ แต่มันไม่ทำงาน: iptables -A INPUT -i "eth0:0" -p tcp --destination-port 80 -j DROP ถ้าฉันเปลี่ยนeth0:0ไปeth0มันทำงานอย่างถูกต้อง อะไรคือปัญหา?

9 iptables  firewall 

มีระบบถ่ายทอดสดที่ซับซ้อน - vlans น้อย ในแต่ละเซิร์ฟเวอร์มีเซิร์ฟเวอร์ลินุกซ์และทุกเซิร์ฟเวอร์มีบริการต่างๆ บริการเชื่อมต่อกัน - ตัวอย่างเช่นบริการ http บนโฮสต์ A เชื่อมต่อกับบริการ mysql บนโฮสต์ B ไปยังพอร์ต 3306 / tcp ฉันต้องการแมปการกำหนดค่าประเภทนี้โดยอัตโนมัติกับฐานข้อมูลและสร้างกฎไฟร์วอลล์สำหรับเซิร์ฟเวอร์แต่ละเครื่อง - เพื่ออนุญาตการเชื่อมต่อที่จำเป็นระหว่างโฮสต์เท่านั้น ฉันคิดเกี่ยวกับ: รับรายการการเชื่อมต่อโดยใช้ netstat บนเซิร์ฟเวอร์แต่ละเครื่อง (หรือการเชื่อมต่อการบันทึกจาก iptables?) จากนั้นใส่ลงในฐานข้อมูล เห็นภาพโดยใช้ graphvis หรืออะไรทำนองนั้น สร้างกฎไฟร์วอลล์ตามกฎจากฐานข้อมูล สร้างกฎ iptables เพื่อบันทึกการเชื่อมต่อซึ่งไม่เหมาะกับกฎก่อนหน้าและเตือนเกี่ยวกับพวกเขา เป็นสิ่งที่สามารถทำได้ดีขึ้น / เร็วขึ้น / วิธีอัตโนมัติมากขึ้น? อาจจะไม่จำเป็นต้องบูรณาการล้อหรือไม่ อัปเดต: ส่วน "ยาก" ไม่ได้สร้างกฎไฟร์วอลล์ แต่สร้างโดยอัตโนมัติจากนั้นจัดการรายการการเชื่อมต่อที่ต้องการ

2 linux  networking  iptables  firewall 

ทุกๆ 5 นาทีหรือมากกว่านั้นกระบวนการบนเครื่องของฉันด้วยรหัสผู้ใช้หลักของฉันพยายามเปิดการเชื่อมต่อไปยังที่อยู่ IP ที่ไม่รู้จัก (ไม่มี rDNS) ที่พอร์ต TCP ที่ผิดปกติ (> 1k) ฉันเห็นสิ่งนี้ในบันทึกไฟร์วอลล์ IP ของคอมพิวเตอร์เพราะการเชื่อมต่อถูกปฏิเสธทุกครั้ง: [243678.820911] Firewall: *TCP_OUT Blocked* IN= OUT=eth1 SRC=192.168.1.33 DST=123.45.67.89 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=31984 DF PROTO=TCP SPT=31339 DPT=1234 WINDOW=64240 RES=0x00 SYN URGP=0 UID=1234 GID=1234 ตอนนี้ฉันต้องการค้นหาว่ากระบวนการนี้เป็นอย่างไร (มีสองสามร้อยคนกำลังทำงานอยู่) เพื่อที่จะหยุดมันจากความพยายามและเพื่อดูว่านี่เป็นสิ่งที่ฉันควรเป็นห่วงหรือไม่ ฉันจะรอและตรวจจับได้ถึงชื่อกระบวนการซึ่งกระบวนการเปิดการเชื่อมต่อไปที่ 123.45.67.89 ที่พอร์ต TCP 3456 ในฐานะผู้ใช้ id 1234?

1 ip  firewall