LINUX.ORG.RU
ФорумAdmin

Настройка iptables

 , ,


0

2

Добрый день, господа. Подскажите, пожалуйста, почему после применения этих правил на вирт. сервере не работает SSH, с консоли ничего не написать, выручает только перезагрузка сервера (не с консоли, с пан.управления). К nginx тоже с браузера не достучаться, DNS нету, обращался по ip. Хотя соединения для 80 & 22 разрешены... Автор скрипта, конечно, не я, нашел давно, уже не припомнить где. В коде ориентируюсь плохо, строки, разрешающие работать с портами (если это они), отметил #portallow

Сам код: http://pastebin.com/TJ5ygBhV

PS: Извините за потраченное вами время, спасибо, что уделили несколько минут.


Долго стартуют программы
Proxy вида ipv4 <=> ipv6

а как конектиштся по ssh? а то сомнения что он тебя не пускает из-за правила: 

# Защита сервера SSH от брутфорса
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name dmitro --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name dmitro --update --seconds 30 --hitcount 3 -j DROP
попробуй убрать все защиты от ддос и прочего и по очереди добавлять, пока не найдешь причины проблемы.

jo_b1ack ★★★★★
()

Абсолютно ожидаемый эффект, там об этом написано еще в самом начале скрипта.
Раз. Вредно брать скрипты fw «у неизвестного дяди» если вы не разбираетесь что они должны делать.
Два. Ничего сверх естественного там нет, кроме достаточной части «хрен знает чего и хрен знает зачем»
Три. Гуглим iptables tutorial и просвещаемся.

anc ★★★★★
()
Ответ на: комментарий от jo_b1ack

Вы не там ищите Watson. Там все проще и выше. Пусть уж сам разбирается, или в Job, а то расплодилось «копипастеров»... помогать им толку ноль, мозги же не работают.

anc ★★★★★
()

Если требуется защита от перебора паролей к ssh то лучше перевесить его на отличающийся от 22 порт и поставить fail2ban. Если требуется защита от всяческого синфлуда и прочего - лучше не уповать на примеры из интернетов а разобраться с iptables самостоятельно, иначе очень велик шанс выстрелить себе в ногу.

alozovskoy ★★★★★
()
Ответ на: комментарий от alozovskoy

иначе очень велик шанс выстрелить себе в ногу.

Что он и сделал :)

anc ★★★★★
()

Автор почитай https://www.opennet.ru/docs/RUS/iptables/ и добавь в закладки. А лучше составить один раз правила самому, а потом по серверам раскидывать. Так будешь знать сам что и для чего делал.

Michael89
()

14 и 16 строку под # попробуйте.

27 строка - iptables -A INPUT -p tcp --dport 22 -j ACCEPT

А после этого правила:

40,41 - ..recent.. и 46,47 - ..connlimit.. 22 порт с такими правилами тупо открыт всем.

27 cтроку под #, а 40 и 41 менять местами и -j ACCEPT ко второй:

iptables -A INPUT -p tcp --syn --dport 22 -m recent --name dmitro --update --seconds 30 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name dmitro --set                              -j ACCEPT
Dimarius
()
Ответ на: комментарий от alozovskoy

Вообще для качественной защиты надо и fail2ban привинтить по уму и iptables к нему настроить грамотно.

Dimarius
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Долго стартуют программы
Admin
Proxy вида ipv4 <=> ipv6