我一直在防火墙阻塞最近两台服务器之间的stream量一些麻烦,并希望检查iptables如何处理多个规则适用于相同的IP。 如果我运行iptables -L -n | grep 1.2.3.4 iptables -L -n | grep 1.2.3.4我看到这个输出: ACCEPT all — 1.2.3.4 0.0.0.0/0 DROP all — 1.2.3.4 0.0.0.0/0 ACCEPT all — 0.0.0.0/0 1.2.3.4 DROP all — 0.0.0.0/0 1.2.3.4 iptables将如何处理这些规则? 所有来自1.2.3.4的stream量是否会被丢弃?
我刚刚了解到CSF,就像它给我的日志/阻塞的可能性一样。 但是它并没有做到理想的阻塞。 情况如下,我有一个服务器与多个IP地址。 我在一个IP上运行apache,在另一个上运行ssh(因此,针对我的网站的黑客攻击ssh或其他服务的攻击变less了)。 到csf.allow我补充说: tcp|in|d=80|d=xx.xx.xx.xx tcp|in|d=22|d=xx.xx.xx.xy 然而,在iptables中,allow被添加在块之前,使其无用。 Chain LOCALINPUT (1 references) num pkts bytes target prot opt in out source destination 1 1074 92873 ACCEPT tcp — !lo * 0.0.0.0/0 xx.xx.xx.xy tcp dpt:22 2 34401 2163K ACCEPT tcp — !lo * 0.0.0.0/0 xx.xx.xx.xx tcp dpt:80 3 0 0 DROP all — !lo * xx.xx.xx.hacker1 […]
现在有一段时间我用CSF作为LFD的主要防火墙,OSSEC作为主要的IDS。 (我喜欢OSSEC对CSF反应过度的内脏IDS)。 我testing了它的小型DoS攻击,例如slowloris变种和synfloods。 工作正常。 Apache正在运行mod_security和mod_evasive。 工作正常。 在后端审计是看我的密码文件的变化,我有Clam AV运行作为主要的AV与LMD(Linux恶意软件检测)在夜间运行。 LSM正在监视所有守护进程的端口活动。 在服务器上运行的唯一可以上网的服务是TOR中继(非退出),Apache和SSHD。 问题:为什么我应该使用CSF过滤来自服务器的stream量? 除了pipe理哪些stream量被允许退出我的服务器之外,我找不到任何好处。 由于我没有其他用户使用我的服务器,黑客/破解者可以简单地使用任何开放的退出端口22,80,443,9001,9030,9595退出我的服务器; 为什么要过滤? Meta:Centos 64b,LMD,Audit,CSF,LFD,OSSEC HIDS,ClamAV,LSM PS:我忘了提到为什么我提出这个问题:Clamd想定期更新,似乎我不能设置传出端口。
我们有一个Centos 6 VPS,最近被迁移到一个新的机器在同一个networking托pipe公司。 它运行WHM / cPanel并安装了csf / lfd。 csf是build立在大多数香草configuration。 我不是iptables专家,csf以前也没有让我失望。 如果一个端口不在TCP_IN列表中,它应该被iptables在防火墙上阻塞。 我的问题是我可以telnet到端口3306从外部主机,但我认为iptables应该阻止3306由于csf的规则。 由于这个开放的港口,我们现在没有进行安全检查。 (这个输出被混淆以保护无辜:www.ourhost.com是带有防火墙问题的主机) [root@nickfenwick log]# telnet www.ourhost.com 3306 Trying 158.255.45.107… Connected to www.ourhost.com. Escape character is '^]'. HHost 'nickfenwick.com' is not allowed to connect to this MySQL serverConnection closed by foreign host. 所以连接build立了,MySQL由于configuration的原因拒绝连接。 我需要防火墙级别的networking连接在到达MySQL之前被拒绝。 使用WHM的csfnetworking用户界面我可以看到“防火墙configuration”包含一个相当明智的TCP_IN行: TCP_IN: 20,21,22,25,53,80,110,143,222,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096,8080 (让我们忽略我现在可以修改一下,我担心的是3306 没有在列表中列出) 当csf重新启动时,它会logging通常的输出,因为它设置了iptables规则,例如看起来像阻塞所有stream量,然后允许特定的端口,如SSH在22: [cut] DROP all opt […]
我刚刚安装并configuration了CSF,并且收到了包含此消息的垃圾邮件100个。 lfd on localhost: Suspicious process running under user www-data Time: Wed May 23 01:05:52 2012 +0200 PID: 8503 Account: www-data Uptime: 118 seconds Executable: /usr/lib/apache2/mpm-prefork/apache2 Command Line (often faked in exploits): /usr/sbin/apache2 -k start Network connections by the process (if any): tcp6: 0.0.0.0:80 -> 0.0.0.0:0 Files open by the process (if any): 有谁知道如何解决?
我注意到我的服务器负载偶尔会出现尖峰,当我检查访问日志时,我发现一些自动论坛海报的模式试图反复访问评论/回复URL。 什么是最好的方式来扼杀/禁止这些几分钟/小时? 脑脊液例如可以这样吗? 我正在寻找一个快速和肮脏的解决scheme。
标题是说我猜。 我想知道如何阻止csf.deny除了less数可信任的IP的所有IP? 我GOOGLE了,但无法find答案。
我使用csf,并注意到一个特定的pop3帐户的蛮力密码尝试了很多。 csf似乎不像其他进程那样阻塞IP地址。 有没有一个开关或configuration选项,有人可以指示我指示csf阻止所有失败的鸽舍login尝试?
我修改我的/etc/hosts.allow文件 sshd : 192.168.0.0/255.255.255.0 : allow sshd : xxx.xxx.xxx.* : allow sshd : ALL : deny (其中xxx表示我的实际IP地址号,通配符*表示全量程0-255),然后重新启动sshd和Apache Web服务器。 在接下来的一周里,我会留意来自外国的IP地址会继续出现在/etc/csf/csf.deny 。 116.31.116.15 # lfd: (sshd) Failed SSH login from 116.31.116.15 (CN/China/-): 5 in the last 300 secs … 我的期望是正确的,否认hosts.allow文件中的IP地址,甚至不应该显示login屏幕来尝试login,因此在csf.deny日志中的条目certificate我的hosts.allow文件没有做我想? 或者,我被一般错误消息( 5 in the last 300 secs误导了,因为实际上这些IP地址实际上并没有试图input用户名和密码5次? 我的目标是防止未经批准的IP地址能够input用户名和密码。 我怎么知道我是否达到这个目标? 我应该期望什么时候csf.deny文件显示其IP被拒绝?
CSF-LFD几乎封锁了所有的开放端口。 它也阻止我需要的10000端口。 我可以通过类似的代码打开端口: cat << EOF >> /etc/csf/csf.conf tcp|in|d=10000|s=aa.bb.cc.dd EOF service csf restart 对于阅读这篇文章的新手,请注意我select了tcp_in因为我的服务器对任何连接到它的人都是远程的,甚至包括我自己。 我的问题: 是否可以打开港口,而不提及任何IP etcetra,如果是的话,为什么? 我问这是因为我想要自动打开IP的过程,作为用于安装我的服务器环境的脚本的一部分,以及人们在Googlesearch中可以find的特定答案; 我个人经历了一些文章,我发现只有在附加IP 时才打开CSF-closed端口。