Эта проблема совсем не нова. Она описана в RFC 2923 в 2000 году. Но тем не менее, продолжает встречаться с завидным упорством у многих провайдеров. А ведь именно провайдер виноват в данной ситуации: не нужно блокировать ICMP тип 3 код 4. Причем слушаться «голоса разума» ( т. е. клиентов, понимающих в чем проблема) они обычно… Читати далі »
В CentOS 7 по умолчанию установлен Firewalld который блочит некоторые порты, а мне нравится стандартный iptables. займемся возвратом всего на свои метса 1. Отключаем Firewalld сервис [root@mongo12 ~]# systemctl mask firewalld 2. Останавливаем. [root@mongo12 ~]# systemctl stop firewalld 3. Установим iptables [root@mongo12 ~]# yum -y install iptables-services
Чтобы отсеять незнакомцев которым не дозволен выход в инет либо гуляние по корпоративным подсетям, можно применить фильтр мак-адресов + ip-адресов В случае если шлюзом выступает сервер на Linux, с iptables на борту, выглядит это так:
Появилась проблемка…. нужно было весь трафик приходящий на определенный порт заворачивать на другую машину в локальной сети, но управлять этим нужно не на шлюзе, а на локальной машине… ответ оказался прост и решается с помощью iptables: iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 21 -j DNAT –to-destination 10.0.3.99 iptables -t nat -A… Читати далі »
Самое простое — открывать порт ssh (22) после стука в заданный высокий порт: iptables -N ssh_knock # Создаем цепочку для проверки попыток соединений на защищаемый порт # Если за последние 60 секунд было 2 и более стука — блокируем, на всякий случай iptables -A ssh_knock -m recent –rcheck –seconds 60 –hitcount 2 -j RETURN #… Читати далі »
iptables -N ssh_knock # Создаем цепочку для проверки # Если за последние 10 минут было 5 и более попыток соединения — блокируем iptables -A ssh_knock -m recent –name ssh –update –seconds 600 –hitcount 5 -j RETURN # Регистрируем iptables -A ssh_knock -m recent –name ssh –set # Если за последние 5 секунд было менее двух… Читати далі »
Из моего опыта (пусть он и не так велик), для работы с Linux-системами чаще всего используются следующие правила и возможности iptables: iptables -L INPUT –line-numbers – просмотреть правила iptables -D INPUT “номер” – удалить правило с данным номером iptables -t nat -L POSTROUTING –line-numbers – просмотреть правила для NAT iptables -t nat -D POSTROUTING “номер”… Читати далі »
Прежде всего: http://iptables-tutorial.frozentux.net/ipt…s-tutorial.html (англ) http://gazette.linux.ru.net/rus/articles/i…s-tutorial.html (русс) Немного теории. Что такое firewall знают многие, однако мало кто знает очень хорошо, как он работает. И вообще, как проходят пакеты через сам сервер, через маршрутизацию и через цепочки firewall’а. Объясняю популярно. Есть сервер — роутер, есть клиент и есть сайт mail.ru. Когда клиент набирает в браузере адрес сайта… Читати далі »