我们已经在虚拟化(OpenVZ)环境中成功地使用了CSF,并结合了venet和桥接接口,所以我们可以使用公有IP +本地寻址的虚拟系统。 Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.100 0.0.0.0 255.255.255.255 UH 0 0 0 venet0 xxx.xxx.xxx.24 0.0.0.0 255.255.255.255 UH 0 0 0 venet0 xxx.xxx.xxx.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr0 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 vmbr10 0.0.0.0 xxx.xxx.xxx.254 0.0.0.0 UG 0 0 0 vmbr0 我们通过一个iptables规则来路由“本地”ips的stream量: […]
gutenberg.org根据http://www.gutenberg.org/error403.php阻止访问所有托pipe服务 如何做到这一点? 有一个主机ips列表? 另外,这些会被添加到脑脊液?
我有一个由WHM驱动的小型/中型VPS,并在Magento支持的网上商店旁边运行一些个人网站。 在服务器configuration细节方面,不是一个真正的专家我最近聘用了一个人来监督一个memcached安装,而且似乎工作。 经过我自己的进一步阅读后,虽然我偶然发现一个教程提到相关的端口(在我们的情况下是11211)必须包括/添加到CSF的TCP_IN“和”TCP_OUT“部分,现在显然不是在我们的安装情况。 这是一个真正的要求吗? 我可以随意添加这个相关的端口,这样做有什么优点/缺点吗? 一些专家的意见将是真正的赞赏。 非常感谢你。
我有一个运行在Centos 6.6上的networking服务器。 最近Config服务器安全防火墙发给我超过150封电子邮件,告诉我有些恶意机器人试图猜测我的客户端ftp用户和密码。 我讨厌bruteforce攻击,我尝试将我的ftp端口从21更改为****。 我configuration了我的purefptd.conf # IP address/port to listen to (default=all IP and port 21). Bind *** # My New Port Here Without 127.0.0.1 然后我允许在我的csfconfiguration文件新的端口所有TCP_IN,TCP_OUT,UDP_IN,UDP_OUT IPv4和IPv6,并添加iptables规则后资源 iptables -A INPUT -p tcp –dport newport -j ACCEPT iptables -A OUTPUT -p tcp –dport newport -j ACCEPT iptables -A INPUT -p udp –dport newport -j ACCEPT iptables […]
当我尝试使用SSH和SFTPlogin到我的VPS时,它没有连接到服务器。 然后,我通过VPS提供商控制面板(数字海洋)closuresVPS电源。 一旦启动,几秒钟后,我可以访问服务器,几分钟后,我不能。 这是一个Ubuntu 14.04.2 + Nginx1.6.2服务器。 我使用CSF,Fail2ban。 这件事的原因是什么? 我的/var/log/auth.log。 Apr 13 22:49:23 my-Server sshd[1569]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key Apr 13 22:49:20 my-Server sshd[1071]: Server listening on 0.0.0.0 port 2200. Apr 13 22:49:20 my-Server sshd[1071]: Server listening on :: port 2200. Apr 13 22:49:22 my-Server su[1477]: Successful su for newrelic by root […]
出于某种原因,我不能让CSF的LFD(/etc/csf/csf.pignore)忽略通过perl进行的amavisd-new运行。 守护进程通过/usr/bin/perl /usr/sbin/amavisd-new (some mode)但似乎当我使用基于正则expression式的pcmd: ,LFD不会忽略它。 LFD和/或与pcmd:使用的正则expression式有pcmd:我不理解? 我用pcmd:的其他东西pcmd:工作正常。 我不想忽略amavis用户,也不理睬perl。 我用csf -ra重新加载更改。 我尝试过的各种方法: pcmd:/usr/bin/perl\s/usr/sbin/amavisd-new.* pcmd:.*/usr/bin/perl\s/usr/sbin/amavisd-new.* pcmd:/usr/bin/perl.*/usr/sbin/amavisd-new.* pcmd:.*/usr/bin/perl.*/usr/sbin/amavisd-new.* pcmd:.*\s/usr/sbin/amavisd-new\s.* pcmd:.*/usr/sbin/amavisd-new.* pcmd:.*/usr/sbin/amavis.* CSF:v9.24(generic)在Ubuntu 16.04.1 – x86_64上 Executable: /usr/bin/perl Command Line (often faked in exploits): /usr/sbin/amavisd-new (master) Command Line (often faked in exploits): /usr/sbin/amavisd-new (virgin child) Command Line (often faked in exploits): /usr/sbin/amavisd-new (ch3-avail) Command Line (often faked in […]
我在我的网站前面使用了cloudflare的nginx来保护他们免受第7层攻击,但是现在一些攻击者发现了这种新的方式,他们每天直接用第7层攻击攻击我的默认IP,而不是攻击这些站点。 当他们在直接IP地址上打开默认页面时,我将返回444响应,但仍然是攻击太大,所以他们正在使所有的站点/服务器在几分钟之内不可用,并在一段时间内取决于攻击使Nginx繁忙。 所以我想问是否有可能禁用端口80访问默认IP而不影响我的其他网站和服务? 这些攻击太大了,我的默认虚拟主机的日志文件在1小时内就变成了1GB,所以即使返回444也没有工作,为什么我认为在防火墙级别阻止它会更好? 任何build议如何与iptables实现这一点? 我用Ngiinx 1.13使用CentOS 6.9。 再有想法? 还在等待!
目前,我把我的CSF防火墙的所有被阻止的IP保存在一个很难维护的“csf.deny”文件中。 为了组织更多的东西(因为并不是所有的IP块我经常拒绝改变),我想知道CSF是否有能力,像Apache这样的* .conf文件,来加载我select的多个文件?
我受到DDOS攻击。 我试图find正在进行1100+连接的IP地址,但是,运行以下命令时,它显示1100+连接,但IP地址列为空。 顺便说一下,我正在使用CSF防火墙来阻止连接。 netstat -anp | grep'tcp \ | udp'| awk'{print $ 5}'| 切-d:-f1 | sorting| uniq -c | 分类 这就是它返回的。 注意“1157”旁边的空白栏。 1 xxx.xx.xx.xxx 1 xx.xxx.xxx.xx 2 xx.xxx.xxx.xxx 2 xx.xx.xxx.xxx 3 xx.xxx.xxx.xx 63 xx.xxx.xxx.xxx 1157 我怎样才能find缺less的IP地址? 谢谢。
我已经在cPanel服务器上安装了CSF,并且知道我相信我可以在/etc/csf/csf.conf文件中专门为传出连接解除阻塞端口。 它看起来像这条线可以被编辑: # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,37,43,53,80,110,113,443,587,873" 但是,我需要取消阻止所有端口的传出连接。 有谁知道这是可能做到的是脑脊液? 他们似乎有点奇怪,强迫你手动列出每一个…