我有一个情况,来自摩尔多瓦的一些知识产权每天都会发现我的基本身份validation凭借某种types的蛮力攻击。 但是我有一个规则fail2ban应该避免这种情况。 当我尝试使用VPN时,它会起作用。 三次尝试后触发fail2ban的请求示例。 我的要求 2016/07/14 15:10:54 [error] 13937#0: *55700 user "engineer" was not found in "/usr/local/nginx/.htpasswd", client: 146.185.31.214, server: localhost, request: "GET / HTTP/1.1", host: "www.mysite.pt" 问题是,来自黑客IP的请求不会触发fail2ban,我不知道为什么。 唯一的区别是referrer:你可以看到。 2016/07/14 01:54:31 [error] 13913#0: *42558 user "engineer" was not found in "/usr/local/nginx/.htpasswd", client: 194.28.112.51, server: localhost, request: "GET / HTTP/1.1", host: "www.mysite.pt", referrer: "http://www.mysite.pt/ /etc/fail2ban/filter.d/nginx-http-auth.conf [Definition] […]
我需要创build一个新的链处理特定的IP,比如说192.168.0.101。 在这个新链中,这个IP将可以访问除FTP之外的所有服务。 我的解决scheme是: iptables -N IP1 iptables -A IP1 -p tcp –dport 20 -j DROP iptables -A IP1 -p tcp –dport 21 -j DROP iptables -A IP1 -j ACCEPT iptables -A INPUT -s 192.168.0.101 -j IP1 解决scheme是否正确? 传入数据包是否需要使用–sport 20,21两个规则?
我有一个networking,上面有几个Linux工作站/服务器,还有两个互联网连接,每个连接前面都有一个消费级NAT路由器。 所以具体来说,假设这些设备是: 192.0.2.0/26 network 192.0.2.1 router A 192.0.2.62 router B 192.0.2.10 host X 192.0.2.11 host Y 这里是一个图表,类似于LARTC HOWTO中的一个: ________ +————+ / | | | +———–+-[NAT router A]——+ Provider 1 +——- _| | | / ___/ \_ +————–+ +————+ | _/ \__ | Linux host | / / \ | | | | Local network —–+ […]
我的用例是根据客户需求部署运行不同服务的arch-linux服务器。 这些服务是特定于应用程序运行的自定义端口,但是可以使用它的FTP,WEB和WEB SSL参数。 以任何组合。 对于每个服务我有一个自定义的软件包,安装该特定的服务,并使其变得简单,我希望该软件包还安装了一个iptables规则,使其有可能使用该服务。 所以,默认情况下,我想有一个规则,拒绝除了SSH以外的所有内容。 然后当我安装例如WEB软件包时,我想让那个软件包安装一个包含规则的文件来打开端口80. FTP的软件包端口是21等等。 但是,我只能看到iptables已经通过iptables-restore / save实用程序完全支持一个文件。 我可以写我自己的实用程序,读取几个文件,并手动与iptables进行交互。 但是我觉得这应该是一个“普通的”用例,而且这样的用途肯定存在。 但是,我的谷歌技能没有对我做任何好的时间:) 基本上我想要的是有一个文件夹,说/etc/iptables.d,我可以放置文件15-http,10-ftp,20-ssl。 根据文件名中的编号应用文件和规则。
下图显示了我的networking的拓扑结构。 我现在想要使用wlan0将来自10.8.0.15的所有httpstream量通过10.8.0.42路由到外部世界。 不幸的是,当谈到iptables和路由时,我是一个noob。 任何人都可以指出我正确的方向? 编辑:到目前为止,我在10.8.0.15上执行了以下命令 sudo ip rule add fwmark 2 table 3 sudo ip route add default via 10.8.0.42 table 3 sudo ip route flush cache sudo iptables -t mangle -A OUTPUT -p tcp –dport 80 -j MARK –set-mark 2 sudo iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source 10.8.0.15 sudo sysctl […]
设置openvpn服务器,但无法将端口转发到客户端。 以下是我想要做的: WAN: 123.45.67.89:4444 -> [OpenVPN Server] -> CLIENT: 192.168.1.10:4444 看到如何做到这一点的许多不同的答案,但无论我尝试它似乎并没有工作, 端口testing总是显示端口closures。
cat /etc/bind/named.conf.options // If there is a firewall between you and nameservers you want // to talk to, you may need to fix the firewall to allow multiple // ports to talk. 我没有find任何有关在名称服务器和I之间使用防火墙的准确防火墙规则的信息。
我已经创build了一个监狱和行动,试图捕捉“DDoS攻击”,但是,每当我重新启动Fail2Ban,日志文件显示这个监狱的错误。 监狱和filter看起来相当直接,并在几个博客转载,但我用于比较的一个在这里 。 这是监狱: [http-get-dos] enabled = true filter = http-get-dos action = iptables[name=Http-Get-Dos, port="http,https"] logpath = %(apache_access_log)s maxretry = 300 findtime = 300 bantime = 300 这是filter: # Fail2Ban configuration file # [Definition] # Option: failregex # Note: This regex will match any GET entry in your logs # You should set up in […]
我似乎无法find一种方式来改变Skype数据包的路由。 我有以下情况: 主机哈,在lan,运行skype。 主机哈哈有网关“gw1” gw1有2个独立的networking连接 – 其中一个是默认的,我想专门用于Skype连接。 所有涉及的机器都使用Linux,所以我可以更改/设置任何我想要的。 有没有办法标记Skype的数据包以某种方式能够改变其路由?
目标:1)允许VPN用户访问互联网没有任何限制2)允许服务器本身访问互联网,但只使用指定的端口(邮件,networking,远程访问) 服务器configuration:1)VPN(poptop / postgresql / Cake VPN计费)2)iptables 3)邮件(dovecot / postfix / spamasassin / postgrey),apache,tomcat,vsftpd,ssh 4)Arch Linux 5)Internet接口 – eth0本地接口 – eth1 VPN虚拟接口 – ppp0 问题:我制作了脚本,并创build了使用IPTables执行转发的脚本。 它只适用于ppp0接口的一个客户端。 第一个客户有完整的networking连接。 但是其他客户端不能连接任何东西。 问题:如何在任意数量的客户端上展开这个脚本? 真的,我不是pipe理员,所以我很抱歉这个蹩脚的问题(和英文不好,因为我是俄罗斯)。 但这是非常重要的,因为现在我们没有使用VPN;) TIA 这是我在/etc/rc.d/router下的脚本: #!/bin/bash . /etc/rc.conf . /etc/rc.d/functions case "$1" in start) stat_busy "Starting Iptables Rules" VPN_INTERFACES=( ppp0 ) lan_interface=eth1 internet_interface=eth0 echo "1" > /proc/sys/net/ipv4/ip_forward […]