LINUX.ORG.RU
решено ФорумGeneral

iptables - заблокировать брутфорс паролей для всех подключений (в т.ч. проброшенным через PREROUTING за nat портам)

 ,


0

1

Имеется хост виртуализации на Debian 9 и Proxmox с одним внешним IPv4 и несколькими виртуальными машинами, к которым проброшены порты правилами типа: 

-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 22 -j DNAT --to-destination 10.10.30.101:22
-A POSTROUTING -s 10.10.30.0/24 -o vmbr0 -j MASQUERADE

Постоянно наблюдаю попытки перебора паролей из нескольких подсетей. Хочу заблокировать все подключения по адресу сети сразу на хосте виртуализации для всех виртуальнрых машин: 

-A INPUT -s 185.a.b.0/24 -m comment --comment "bruteforce RDP" -j REJECT --reject-with icmp-port-unreachable
Но при этом подключения из сети 185.a.b.0/24 для виртуальных машин на проброшенные порты не блокируются. Видимо потому что правила INPUT обрабатываются после PREROUTING. Как лучше поступить? Можно ли создать правило блокировки «злых» подсетей на хосте виртуализации, которое применялось бы и для проброшенных через Nat портов?



Последнее исправление: kostenelo (всего исправлений: 3)
vsftpd и симлинки, vsftpd и логгирование
Новое небольшое POSIX ядро для слабеньких процов типа Z80

После DNAT на нелокальный адрес идёт FORWARD, а не INPUT, вот в FORWARD и пишите запрещающие правила.

vodz ★★★★★
()
Ответ на: комментарий от vodz

т.е. если я хочу заблокировать и хост виртуализации, и виртуальные машины нужно два правила отдельных правила - один в INPUT для хоста, + второй в FORWARD для виртуальных машин?

kostenelo
() автор топика
Ответ на: комментарий от kostenelo

Порт вы собираетесь редиректить по условию? Для одних адресов делать DNAT, а для других для хоста? Тогда само собой для INPUT будет разные правила, разрешающие и запрещающие.

vodz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
vsftpd и симлинки, vsftpd и логгирование
General
Новое небольшое POSIX ядро для слабеньких процов типа Z80