Были на старом сервере такие правила для защиты, потом после обновление и переезда на новые сервера эти правила не получается переделать в новый формат для nftables. Прошу помощи в переделки этих правил:
Конвертировать эти правила автоматом используя iptables-restore-translate не получается.
# Создаем список "BRUTESCAN", строгие правила для проверки хакеров, проверяем brute force и сканирование портов
iptables -N BRUTESCAN
# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A BRUTESCAN -m recent --update --seconds 600 --hitcount 10 --name ScanPort -j DROP
# Если за последний час с одного адреса было 10 или более новых соединений — блокируем этот адрес
iptables -A BRUTESCAN -m conntrack --ctstate NEW -m recent --update --seconds 3600 --hitcount 10 --name BruteForce --rsource -j DROP
# В противном случае - разрешаем, и при этом заносим в список IP откуда зашли
iptables -A BRUTESCAN -m recent --set --name BruteForce -j ACCEPT
# Создаем список "ONLYSCAN", простые правила для проверки хакеров, только на сканирование портов
iptables -N ONLYSCAN
# Если на легитимный порт входит хакер который сканировал нас, мы его блочим
iptables -A ONLYSCAN -m recent --update --name ScanPort --seconds 60 --hitcount 10 -j DROP
# В противном случае - разрешаем, и при этом IP никуда не заносим
iptables -A ONLYSCAN -m recent --set --name AcceptMiniCheck -j ACCEPT
# вытаскиваем из черного списка IP, если он там есть, используя Port Knocking
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name ScanPort -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --remove --name BruteForce -j DROP
iptables -A INPUT -p icmp -m length --length 123 -m recent --set --name UnBanIPicmp -j DROP
P.S. Это только часть правил и это их параноидальная часть :-)
.png)
