服务器 Gind.cn
  1. 服务器 Gind.cn
  3. iptables内容阻塞防火墙
Intereting Posts
分支机构RDP会话断开连接 通过VPN和SSH / SOCKS代理连接特定应用程序有什么区别? 如何在我login的Windows计算机上看到我的用户angular色? WSUS似乎正在运行,但在应用程序日志中报告错误(DSS身份validationWeb服务不起作用) 在Debian启动运行 我应该如何处理所有的免费公羊? 带有多个通配符的SSL证书 将主机重写到其他主机有一些复杂性 重写查询string 戴尔H700固态硬盘和HD在不同的RAID组? nginx不能执行很多请求 MySQL:加载数据infile并忽略文件中的选项卡 在MacOSX Snow Leopard中记住了SSH密码 每次请求之前,Nginx都会调用脚本 nginxredirect/2013/04/test.html到/testing – 不工作

iptables内容阻塞防火墙

我已经build立了一个防火墙iptables基于内容ratelimit连接。 以下是我的规则之一停止WordPress的暴力破解的例子。 

iptables -A INPUT -p tcp -m tcp --dport 80 -m string --algo bm --string "POST /wp-login.php" -m recent --set --name wp_brute --rsource iptables -A INPUT -p tcp -m tcp --dport 80 -m string --algo bm --string "POST /wp-login.php" -m recent --name wp_brute --rcheck --seconds 60 --hitcount 4 -j LOG --log-level=6 --log-prefix="Wordpress Attack:" iptables -A INPUT -p tcp -m tcp --dport 80 -m string --algo bm --string "POST /wp-login.php" -m recent --name wp_brute --rcheck --seconds 60 --hitcount 4 -j REJECT --reject-with tcp-reset

我试图得到另一个规则是有点窍门,因为我想阻止来自传入连接的响应数据包。 例如,如果有人试图使用POP3login和响应身份validation失败,那么我想阻止原来的IP。 然而,上述规则不会明显,因为这项运动是原来的dport。

我试过这个,但我认为它应该是输出表而不是input表。 

 iptables -A INPUT -p tcp -m tcp --dport 110 -m string --algo bm --string "Password supplied for " -m recent --set --name pop3_brute --rsource iptables -A INPUT -p tcp -m tcp --dport 110 -m string --algo bm --string "Password supplied for " -m recent --name pop3_brute --rcheck --seconds 60 --hitcount 4 -j LOG --log-level=6 --log-prefix="POP3 Attack:" iptables -A INPUT -p tcp -m tcp --dport 110 -m string --algo bm --string "Password supplied for " -m recent --name pop3_brute --rcheck --seconds 60 --hitcount 4 -j REJECT --reject-with tcp-reset

所以然后我尝试了这个 

 iptables -A OUTPUT -p tcp -m tcp --sport 110 -m string --algo bm --string "Password supplied for " -m recent --set --name pop3_brute --rsource iptables -A OUTPUT -p tcp -m tcp --sport 110 -m string --algo bm --string "Password supplied for " -m recent --name pop3_brute --rcheck --seconds 60 --hitcount 4 -j LOG --log-level=6 --log-prefix="POP3 Attack:" iptables -A OUTPUT -p tcp -m tcp --sport 110 -m string --algo bm --string "Password supplied for " -m recent --name pop3_brute --rcheck --seconds 60 --hitcount 4 -j REJECT --reject-with tcp-reset

我对iptables有一点新意,所以在根据响应包阻止远程IP的时候遇到了一些麻烦,我在计数器上返回。

通常,您应该在应用程序级别logging失败,然后使用一个实用程序,例如fail2banparsing日志并生成/pipe理防火墙规则。

这已经有一段时间; 然而,WP在login页面使用SSL不呢? 相反,你有没有设置SSL? 我说这是由于iptables位于堆栈的位置。

如果你到了login页面,并且看到它正在使用SSL,下面的规则将无法匹配任何你可以设置的string。 SSL将由apache处理,而不是netfilter部分。 所以,iptables只会看到乱码。

你可以更好地把它放在一个虚拟主机或htaccess文件中,使用排除你的地址在POST上进行匹配。 我build议直接在虚拟主机条目(假设你使用的是虚拟主机),因为它只能在虚拟主机上读取它。 在共享主机中常见的htaccess选项将被调用到htaccess块上的匹配。 在一个共享主机帐户上的暴力,你可能会产生一些负载。

再次,因为我与WP搞砸了一段时间。

至于pop3的比赛,你有没有尝试过在看tcpdump的时候自己动手? 就像是 : 

 tcpdump -xxV port 110

做到这一点将提供什么iptables将能够匹配。 我会检查出https://danielmiessler.com/study/tcpdump/的一些指针。