Це було зроблено в першу чергу.
Саме це і робить Fail2Ban, тільки у мене час бана - 3 години. Я ж написала вище - моментально після зняття бана спроби починаються знову.
iptables для мене на жаль продовжують залишатися темним лісом :-( незважаючи на читання мана і посібників :-(
--
З повагою, Людмила
хостера своєму або провайдеру (вони напевно свої - російські)
Open this post in threaded view
Re: Заблокувати доступ по IP?
А що в даному випадку може зробити хостер такого, що не можу зробити я? Адже це ж можливо всередині VPS - заблокувати доступ по IP. А хостер не надає адміністрування VPS.
--
З повагою, Людмила
Open this post in threaded view
Re: Заблокувати доступ по IP?
Open this post in threaded view
Re: Заблокувати доступ по IP?
In reply to this post by Людмила Бандурина
"Людмила Бандурина"
Крім того, зверніть увагу: мені треба закрити цього IP не тільки SSH! Воно Брут і адмінки по http!
А може для конкретно даного випадку - краще діяти в правовому полі? У сенсі зателефонувати, куди слід.
In reply to this post by Ілля Телегін
Якщо довбати людина, а не бот, зміна порту 100% не допоможе.
Банально nmap -A -v
Приклад настройки для бубунти:
sudo apt-get install shorewall
Дивимося ман:
zcat /usr/share/doc/shorewall/README.Debian.gz|less
дізнаємося від туди, що дефолтні конфіги в
(/ Usr / share / doc / shorewall / default-config /) і про те, що треба поправити
файл / etc / default / shorewall.
Правимо / etc / default / shorewall
Для того щоб він запускався startup = 0 міняємо на startup = 1
Основні конфіги:
# Ls -1 / etc / shorewall /
interfaces - опис інтерфейсів
Makefile
masq - роздача інтернет в NAT
policy - політика файрволу
rules - правила файрвола
shorewall.conf - основний конфиг (найчастіше в ньому нічого не
змінюється, але якщо наприклад ми роздаємо інет у внутрішню мережу, то
IP_FORWARDING повинен бути Yes. Або наприклад використовується телебачення на
мультикаст то MULTICAST = Yes)
shorewall.conf.dpkg-dist
start
zones - зони файрволу
Приступаємо до налаштування:
Наприклад у нас є 3 інтефейс. Два фізичних і один pppoe або vpn, в
Загалом: eth0, eth1 і ppp0.
eth0 - локалка провайдера
eth1 - внутрішня домашня мережа
ppp0 - ВПН або pppoe. Загалом інтернет.
В першу чергу включаємо IP_FORWARDING в shorewall.conf
зони:
cp / usr / share / doc / shorewall / default-config / zones / etc / shorewall /
vi / etc / shorewall / zones
# локалка
loc ipv4
# Внутрішня домашня мережа
nat ipv4
# інтернет
net ipv4
назва зони максимум 4 символу
Призначаємо кожній зоні інтерфейс:
cp / usr / share / doc / shorewall / default-config / interfaces / etc / shorewall /
vi / etc / shorewall // interfaces
loc eth0
nat eth1
net ppp0
Політика файрволу:
cp / usr / share / doc / shorewall / default-config / policy / etc / shorewall /
vi / etc / shorewall / policy
# Fw - це сам шаршрутізатор. Тобто локальна машина.
# Дозволяємо fw ходити куди завгодно
fw all ACCEPT
# Дозволяємо з домашньої мережі ходити в інет і локалку
nat net ACCEPT
nat loc ACCEPT
# Все інше Дропана
all all DROP
Правила файрволу:
cp / usr / share / doc / shorewall / default-config / rules / etc / shorewall / rules
vi / etc / shorewall / rules
# Дозволяємо SSH на маршрутезатор
SSH / ACCEPT all $ FW
# Забороняємо з ip 8.8.8.8
SSH / DROP net: 8.8.8.8 $ FW
# Дозволяємо доступ по веб на маршрутизатор
Web / ACCEPT all $ FW
# Прокидає порт 3389 на машину в домашній мережі
DNAT all nat: 192.168.1.181 tcp 3389
# Теж саме але з готовим макросом FTP
FTP / DNAT all nat: 192.168.1.181
# Дозволяємо пінг
Ping / ACCEPT all $ FW
Макроси можна подивитися в /usr/share/shorewall/macro.*
по суті це майже готові правила наприклад макрос Web:
$ Grep -vE '^ $ | ^ #' /usr/share/shorewall/macro.Web
PARAM - - tcp 80 # HTTP (plaintext)
PARAM - - tcp 443 # HTTPS (over SSL)
Роздача інтернету:
vi / etc / shorewall / masq
ppp0 eth1
eth0 eth1
Якщо на інтерфейсах різний розмір MTU, слід включити фрагментацію
vi / etc / shorewall / start
iptables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS
--clamp-mss-to-pmtu
dmesg -n5
Другий рядок позбавляє від флуду в консоль про це написано в
README.Debian.gz (який ми читали спочатку)
Залишилося "перезавантажити демон". В реалі немає ніякого демона, просто
генеруються правила і все.
service shorewall restart
можна милуватися згенерували правилами iptables
Або навіть зберегти їх за допомогою iptables-save і видалити shorewall)))
--
З повагою,
Alex Emergy
Дуже зрозуміле і цікаве чтиво!
iptables для мене на жаль продовжують залишатися темним лісом :-( незважаючи на читання мана і посібників :-(
--
--
З найкращими побажаннями,
Олег Анісімов AKA Yoda