LINUX.ORG.RU

История изменений

Исправление AnastasiaM, (текущая версия) :

Промежуточные итоги:

Как использовать список BRUTESCAN и ONLYSCAN в том виде что был у меня не поняла и нешла этого в описании. Поэтому заменила простыми правила с ограничением количества подключений в минуту. Вытаскиваем из черного списка IP пока не получается.

Вот промежуточные привила что сейчас использую:

nft flush ruleset        # очистить все и потом начинаем создавать правила
nft add table ip filter  # Создать таблицу фильтр

nft add chain ip filter INPUT   { type filter hook input   priority 0 \; policy drop   \; } # INPUT   по умолчанию - drop
nft add chain ip filter FORWARD { type filter hook forward priority 0 \; policy drop   \; } # FORWARD по умолчанию - drop
nft add chain ip filter OUTPUT  { type filter hook output  priority 0 \; policy accept \; } # OUTPUT  по умолчанию - accept


nft add rule ip filter INPUT                    ct state invalid              counter drop
nft add rule ip filter INPUT ip protocol tcp    ct state related,established  counter accept
nft add rule ip filter INPUT ip protocol udp    ct state related,established  counter accept
nft add rule ip filter INPUT ip protocol icmp   ct state related,established  counter accept
nft add rule ip filter INPUT iifname "lo"                                     counter accept   # разрешить loopback 
nft add rule ip filter INPUT tcp dport 12345 ct state new limit rate 10/minute counter accept comment "SSH" # простые ограничения

Исходная версия AnastasiaM, :

Промежуточные итоги:

Как использовать список BRUTESCAN и ONLYSCAN в том виде что был у меня не поняла и нешла этого в описании. Поэтому заменила простыми правила с ограничением количества подключений в минуту. Вытаскиваем из черного списка IP пока не получается.

Вот промежуточные привила что сейчас использую:

nft flush ruleset        # очистить все и потом начинаем создавать правила
nft add table ip filter  # Создать таблицу фильтр

nft add chain ip filter INPUT   { type filter hook input   priority 0 \; policy drop   \; }    # INPUT   по умолчанию - drop
nft add chain ip filter FORWARD { type filter hook forward priority 0 \; policy drop   \; }    # FORWARD по умолчанию - drop
nft add chain ip filter OUTPUT  { type filter hook output  priority 0 \; policy accept \; }    # OUTPUT  по умолчанию - accept


nft add rule ip filter INPUT                    ct state invalid              counter drop
nft add rule ip filter INPUT ip protocol tcp    ct state related,established  counter accept
nft add rule ip filter INPUT ip protocol udp    ct state related,established  counter accept
nft add rule ip filter INPUT ip protocol icmp   ct state related,established  counter accept
nft add rule ip filter INPUT iifname "lo"                                     counter accept   # разрешить loopback 
nft add rule ip filter INPUT tcp dport 12345 ct state new limit rate 10/minute counter accept comment "SSH" # простые ограничения