Browsed by
Tag: iptables

Path MTU Discovery Black Hole

Path MTU Discovery Black Hole

Эта проблема совсем не нова. Она описана в RFC 2923 в 2000 году. Но тем не менее, продолжает встречаться с завидным упорством у многих провайдеров. А ведь именно провайдер виноват в данной ситуации: не нужно блокировать ICMP тип 3 код 4. Причем слушаться «голоса разума» ( т. е. клиентов, понимающих в чем проблема) они обычно не хотят. Решение проблемы с PMTU Не будем звонить в техподдержку, а попробуем решить проблему, исходя из собственных средств. Разработчики Linux, тоже знающие о ней,…

Read More Read More

CentOS 7: отключить Firewalld

CentOS 7: отключить Firewalld

В CentOS 7 по умолчанию установлен Firewalld который блочит некоторые порты, а мне нравится стандартный iptables. займемся возвратом всего на свои метса 1. Отключаем Firewalld сервис [root@mongo12 ~]# systemctl mask firewalld[root@mongo12 ~]# systemctl mask firewalld 2. Останавливаем. [root@mongo12 ~]# systemctl stop firewalld[root@mongo12 ~]# systemctl stop firewalld 3. Установим iptables [root@mongo12 ~]# yum -y install iptables-services[root@mongo12 ~]# yum -y install iptables-services

Привязать MAC к IP на шлюзе

Привязать MAC к IP на шлюзе

Чтобы отсеять незнакомцев которым не дозволен выход в инет либо гуляние по корпоративным подсетям, можно применить фильтр мак-адресов + ip-адресов В случае если шлюзом выступает сервер на Linux, с iptables на борту, выглядит это так:

Проброс трафика на другую машину

Проброс трафика на другую машину

Появилась проблемка…. нужно было весь трафик приходящий на определенный порт заворачивать на другую машину в локальной сети, но управлять этим нужно не на шлюзе, а на локальной машине… ответ оказался прост и решается с помощью iptables: iptables -t nat -A PREROUTING -p tcp -i eth0 –dport 21 -j DNAT –to-destination 10.0.3.99 iptables -t nat -A POSTROUTING -p tcp -d 10.0.3.99 –dport 21 -j MASQUERADEiptables -t nat -A PREROUTING -p tcp -i eth0 –dport 21 -j DNAT –to-destination 10.0.3.99 iptables -t…

Read More Read More

стук на открытие порта ssh

стук на открытие порта ssh

Самое простое — открывать порт ssh (22) после стука в заданный высокий порт: iptables -N ssh_knock # Создаем цепочку для проверки попыток соединений на защищаемый порт # Если за последние 60 секунд было 2 и более стука — блокируем, на всякий случай iptables -A ssh_knock -m recent –rcheck –seconds 60 –hitcount 2 -j RETURN # Если за последние 10 секунд стук в нужный порт был — разрешить соединение iptables -A ssh_knock -m recent –rcheck –seconds 10 -j ACCEPT iptables -F…

Read More Read More

Защита от брут-форса

Защита от брут-форса

iptables -N ssh_knock # Создаем цепочку для проверки # Если за последние 10 минут было 5 и более попыток соединения — блокируем iptables -A ssh_knock -m recent –name ssh –update –seconds 600 –hitcount 5 -j RETURN # Регистрируем iptables -A ssh_knock -m recent –name ssh –set # Если за последние 5 секунд было менее двух попыток — блокируем iptables -A ssh_knock -m recent –name ssh ! –rcheck –seconds 5 –hitcount 2 -j RETURN # Все остальное — разрешаем iptables -A…

Read More Read More

Справка новичку по iptables

Справка новичку по iptables

Из моего опыта (пусть он и не так велик), для работы с Linux-системами чаще всего используются следующие правила и возможности iptables: iptables -L INPUT –line-numbers – просмотреть правила iptables -D INPUT “номер” – удалить правило с данным номером iptables -t nat -L POSTROUTING –line-numbers – просмотреть правила для NAT iptables -t nat -D POSTROUTING “номер” – удалить правило для NAT с данным номером iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT –to-source 111.111.111.111 – создать правило NAT…

Read More Read More