Сообщения Jacky

Сброс соединения на nginx

Доброго дня,

в логе nginx вижу массу запросов вида:

46.183.***.*** - - [24/Jun/2024:15:03:26 +0500] «\x01» 400 12879 «-» «-» «-»

Получается, что серверу отправляется только один байт, зато ответ составляет аж 12879 байт, очевидно, DDoS. Хочу сбрасывать такие запросы без отправки данных, отправляя код ответа 444. Но, не понимаю, как создать соответствующее правило в конфигурации.

Вижу, что отсутствует метод запроса и пытаюсь так:

http { map $request_method $is_blocked_method { default 1;

	"POST"	0;
	"GET"	0;
}

}

server { if ($is_blocked_method = 1) { return 444; } }

но, запросы в этот if не попадают почему то…

nginx

Jacky
(24.06.24 13:09:19 MSK)

1 комментарий

Добавить поддержку cipher suite в Nginx

Добрый день,

необходимо добавить поддержку одного из следующих ниже шифров на сервере Nginx с OpenSSL 1.1.1d на Debian 9

TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256

текущий SSL конфиг выглядит так

ssl_protocols  TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

ssl_stapling on;
ssl_stapling_verify on;

но если я просто добавляю одну из строк шифра в конец значения параметра ssl_ciphers и перезапускаю сервер, то шифр всё равно не поддерживается, судя по тестам https://www.wormly.com/test_ssl/ и https://www.ssllabs.com/ssltest/

Что я делаю не так?

nginx, ssl

Jacky
(09.08.20 02:55:14 MSK)

7 комментариев

Бесконечный entered/left promiscuous mode в /var/log/messages

Приветствую,

лог /var/log/messages заполнен записями

May 1 15:14:12 hostname kernel: [5094991.528636] device enp2s0f0 left promiscuous mode
May 1 15:14:12 hostname kernel: [5094991.624859] device enp2s0f0 entered promiscuous mode
May 1 15:14:52 hostname kernel: [5095031.529632] device enp2s0f0 left promiscuous mode
May 1 15:14:52 hostname kernel: [5095031.664455] device enp2s0f0 entered promiscuous mode
May 1 15:15:35 hostname kernel: [5095074.495689] device enp2s0f0 left promiscuous mode
May 1 15:15:35 hostname kernel: [5095074.588080] device enp2s0f0 entered promiscuous mode
May 1 15:16:15 hostname kernel: [5095114.511260] device enp2s0f0 left promiscuous mode
May 1 15:16:15 hostname kernel: [5095114.583686] device enp2s0f0 entered promiscuous mode
May 1 15:16:57 hostname kernel: [5095156.487771] device enp2s0f0 left promiscuous mode
May 1 15:16:57 hostname kernel: [5095156.599286] device enp2s0f0 entered promiscuous mode

# ifconfig
enp2s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XX.XX.27  netmask 255.255.255.248  broadcast XX.XX.XX.29
        inet6 fe80::ec4:7aff:fee2:4e22  prefixlen 64  scopeid 0x20<link>
        ether 0c:c4:7a:e2:4e:22  txqueuelen 1000  (Ethernet)
        RX packets 161608346098  bytes 11438458446402 (10.4 TiB)
        RX errors 0  dropped 2486  overruns 173836604  frame 0
        TX packets 484606633386  bytes 31629062420318 (28.7 TiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xdf180000-df1fffff

enp2s0f0:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XX.XX.24  netmask 255.255.255.248  broadcast XX.XX.XX.29
        ether 0c:c4:7a:e2:4e:22  txqueuelen 1000  (Ethernet)
        device memory 0xdf180000-df1fffff

enp2s0f0:1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XX.XX.25  netmask 255.255.255.248  broadcast XX.XX.XX.29
        ether 0c:c4:7a:e2:4e:22  txqueuelen 1000  (Ethernet)
        device memory 0xdf180000-df1fffff

enp2s0f0:2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XX.XX.26  netmask 255.255.255.248  broadcast XX.XX.XX.29
        ether 0c:c4:7a:e2:4e:22  txqueuelen 1000  (Ethernet)
        device memory 0xdf180000-df1fffff

enp2s0f0:3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet XX.XX.XX.28  netmask 255.255.255.248  broadcast XX.XX.XX.29
        ether 0c:c4:7a:e2:4e:22  txqueuelen 1000  (Ethernet)
        device memory 0xdf180000-df1fffff

Linux version 4.19.0-8-amd64 (debian-kernel@lists.debian.org) (gcc version 8.3.0 (Debian 8.3.0-6)) #1 SMP Debian 4.19.98-1 (2020-01-26)

Подскажите пожалуйста, как диагностировать проблему?

debian, nic

Jacky
(01.05.20 17:29:58 MSK)

73 комментария (стр. 2)

Exim4 список IP, с которых разрешена отправка от имени локального домена

Всем привет, есть почтовый север Exim4, настроен по-умолчанию, держит один почтовый домен, последние пару недель, какой то индивид повадился отправлять почту в локальный домен, на адрес, допустим, support@somedomain.ru указывая, такой же адрес в качестве отправителя. Письма - фишинг, типа я взломал ваши пароли, в подтверждение мол пишу с ваших же почтовых ящиков, дайте денег.

Тупо надоело уже. Вопрос к знатокам Exim, можно ли настроить список IP, с которых разрешена отправка «из локального домена», т.е. когда в адресе отправителя значится *@somedomain.ru?

exim

Jacky
(08.11.18 22:07:14 MSK)

6 комментариев

rate-limit в iptables

Добрый день,

имеется веб-сервер, запросы к которому, в настоящее время лимитированы 5 запросов в 10 секунд следующими правилами:

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --rcheck --name LIMIT --seconds 10 --hitcount 5 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name LIMIT -j ACCEPT

Хочется оставить это как дефолтный рейт-лимит, но добавить еще правила, чтобы при превышении порога в 20 запросов в минуту назначался лимит в 2 запроса в минуту. Возможно ли это? Я новичок, и поиски в Гугле пока не принесли результата, буду благодарен за конструктивные ответы.

iptables

Jacky
(15.01.15 13:58:46 MSK)

1 комментарий

RSS подписка на новые темы