服务器 Gind.cn
  1. 服务器 Gind.cn
  3. configurationiptables:在SSH上阻塞
Intereting Posts
在Solaris中删除目录 Portsnap错误,不再适用于FreeBSD 8.2 Server 2008 R2 – 从以前的版本恢复用户的漫游configuration文件文件夹 Ansible“期待”与sudo模块? 禁止用户在TSE环境中复制文件 当我列出当前的工作目录时会显示文件,但是如果我尝试用它做任何事情,它就不存在 QoS – 在高负载期间跨所有IP的分离带宽 如何为不同服务器上的用户提供单一的ssh公钥/私钥对? 如何保护本地服务器? 如何将所有HTTPstream量redirect到HTTPS,以使用SSL证书在ELB后面的nginx / uWSGI后面运行的Django 1.4应用程序 在Ubuntu服务器上用PHP从PHP发送电子邮件 我可以在SharePoint中删除一个大型的LDF文件吗? 在Windows Server 2008(networking版)上显示硬盘使用情况的最佳工具是什么? Keepalived + Haproxy性能,apache或nginx? (如何)我可以在漫游configuration文件RDS环境中更改本地configuration文件存储(C:\ Users)的位置吗?

configurationiptables:在SSH上阻塞

我正在尝试configuration一个基于CentOS 6.4的testing服务器。 我已将默认的SSH端口更改为另一个端口56988.现在我正在尝试创build一组规则,以便:

  • 允许连接56988最大(以防止暴力)
  • 在80和443上接受传入和传出的连接,以防止DOS攻击
  • 阻止其他一切

为了做到这一点,我写了一个小的bash脚本: 

#! iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A INPUT -p tcp --dport 56988 -m state --state NEW -m recent --set --name ssh -rsource iptables -A INPUT -p tcp --dport 56988 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name ssh -j DROP iptables -A OUTPUT -p tcp --sport 56988 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sports 80,443 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sports 80,443 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --dports 80,443 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT /etc/init.d/iptables save

虽然运行后,我被通过SSH被阻止。 我在做什么错误的configuration? 提前致谢!

我很高兴看到你已经澄清了有关端口号的问题。 现在,我所做的只是将Karma Fusebox和Laurentiu Roescu的评论正式化,因为他们已经确定了实际的问题:您指定要丢弃哪些ssh数据包,但决不会接受哪些ssh数据包。 您需要插入一行,如下所示: 

 iptables -A INPUT -p tcp --dport 56988 -m state --state NEW -m recent --set --name ssh -rsource iptables -A INPUT -p tcp --dport 56988 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name ssh -j DROP ###### new line is the next one ######### iptables -A INPUT -p tcp --dport 56988 -j ACCEPT ###### new line was the previous one #### iptables -A OUTPUT -p tcp --sport 56988 -m state --state ESTABLISHED -j ACCEPT

你明白为什么? 你的INPUT链有一堆关于速率限制的逻辑,并且拒绝任何超过速率限制的数据包 – 但是它从来没有为那些没有通过速率限制testing的新数据包作任何规定,所以它们通过整个链条和死亡的政策(DROP)。

我只想提出vasco.debian的答案,但这个新的路线的地位是重要的。 由于iptables是以第一种方式匹配胜出的,所以新的线路必须限速线之后。 否则所有新的数据包将匹配这条新的线路,并且从不首先对比限制线进行testing。

显而易见的问题是,你打开22端口,但是把ssh监听端口56988.这是你需要改变。

sshd正在监听端口56988吗? 默认情况下,SELinux阻止sshd绑定到非标准端口。

尝试以下。 

 /sbin/iptable -I INPUT -p tcp --dport 56988 -j ACCEPT

这将在INPUT链的顶部插入规则