我已经设置了端口敲打scheme来保护端口22使用iptable规则。 最重要的是,我已经设置了一些“蜜jar”规则来禁用端口敲打客户端几分钟,如果他们击中未使用的公用端口(例如端口21)或敲打序列周围的端口。 这似乎工作得很好(我相信这是一个更好的select,而不是将端口更改为某种模糊)。 对于SSHD密码,无论如何都将禁用login – 需要encryption的私钥/公钥组合。 在这个页面上有一个“滴水盘”的scheme,如果未使用的端口被击中,客户端将无法与任何东西(甚至打开的端口)通信60秒。 我最担心的是“–hitcount 3”似乎是由任何一个单一的端口请求引发的。 所以我的问题是,你对这种设置有什么看法? Web服务器上的“滴水盘”太多了,还是恰到好处? 除了保持一个放弃政策,只打开需要的东西外,你们有没有其他的防火墙安全build议? 编辑:我正在使用CentOS 5.7。 我们假设在理性的情况下尽可能安全。 服务器将不得不通过PCI / SAS合规(以及其他类似的标准)。 重点将是防火墙,不一定会发现单个服务的漏洞(这是另一个话题)。 我所缺less的任何与防火墙或外部任何东西有关的东西。 要使攻击者获得访问权尽可能地困难。
我正在使用LXC容器。 我的每个容器都有一个在10.0.3.0/24中的IP地址。 我希望进入我的主机在某个端口的数据包被redirect到一个容器,所以我使用这个规则: iptables -t nat -A PREROUTING -p tcp –dport 3000 -j DNAT –to-destination 10.0.3.4:3000 这允许做(外包)# – >主机:3000 – >容器:3000 它工作很好。 然而,当我在一个容器(不是在这个先前的规则中使用的),并且我想要访问另一个主机(如HOST2)在端口3000,我的数据包被redirect到我的容器。 它确实: (在容器包内)# – > HOST2:3000 – > HOST:3000 – > CONTAINER:3000 而不是(在容器包内)# – > HOST2:3000 – > HOST:3000 – > HOST2:3000 我试图改变我的规则 iptables -t nat -A PREROUTING -s 10.0.3.0/24 -p tcp –dport […]
我没有路由器,所以我让Linux系统进入路由器有centos 6.4转发公共networkingstream量到我的本地LAN.It有两个NIC卡。 一个用于公共ip(eth1),另一个用于私有ip(eth2)。 我有一个服务器连接到我的本地局域网假设192.168.1.2。 xxxx是公网ip(这个ip在eth1上)。 Linux系统路由器IP假设192.168.1.1(这个IP是在eth2上) 我希望当任何地方的任何networking的人使用这个ie ssh xx.xx(公共IP)或使用腻子 它会去服务器。 我禁用服务器上的Selinux和iptables防火墙 我在Linux系统路由器上做了一些Iptables修改,但是它自己作为路由器工作,而不是从其他networking和同一networking的主服务器。 iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 –dport 22 -j DNAT –to-destination 192.168.1.2:22 但不行。 再次我想转发所有HTTP(80)stream量到我的内部服务器使用iptables从相同的Linux系统路由器。 我需要这个好心的给我解决这个问题。
我必须设置一个规则,使我的Web服务器(在端口7000上运行)可以在端口80上访问: ptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 7000 迄今为止,这是完美的。 但是,如果我重新启动服务器的规则不见了。 有什么做的做这个规则永久? 埃利亚斯
我已经在我的CentOs VPS上安装了OpenVPN服务器,并成功启动 并尝试通过以下命令为其configurationiptables: iptables -A FORWARD -m state -–state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -A FORWARD -j REJECT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT –to 209.54.48.68 但我无法连接到它,所以我在我的电脑上运行nmap: nmap -p 1194 209.54.48.68 启动Nmap 5.21(http://nmap.org)于2011-12-27 22:28 IRST Nmap扫描报告209.54.48.68.nativehosting.com(209.54.48.68) 主机已启动(延迟0.53秒)。 港口国服务 1194 / tcpclosures不明 Nmap完成:在3.22秒内扫描1个IP地址(1个主机) 现在问题在哪里,我该如何解决? 为什么1194在安装OpenVPN后closures? 我遵循http://tipupdate.com/how-to-install-openvpn-on-centos-vps/进行安装和configuration。
我试图通过发出以下命令将CloudFlare的IP地址列在我的服务器上: iptables -N whitelist iptables -A whitelist -s 204.93.177.0/24 -j ACCEPT iptables -A whitelist -s 199.27.128.0/21 -j ACCEPT iptables -A whitelist -s 173.245.48.0/20 -j ACCEPT iptables -A whitelist -s 103.22.200.0/22 -j ACCEPT iptables -A whitelist -s 141.101.64.0/18 -j ACCEPT iptables -A whitelist -s 108.162.192.0/18 -j ACCEPT 而当我input: iptables -L我看到: Chain whitelist (0 references) target prot […]
在Parallels上运行一个Centos 6.3盒子 我试图打开80端口从外面访问 尝试从这篇文章的GUI解决scheme,它的工作原理,但我需要从脚本来完成它。 试图做到这一点: sudo /sbin/iptables -A INPUT -p tcp -m state –state NEW -m tcp –dport 80 -j ACCEPT sudo /sbin/iptables-save sudo /sbin/service iptables restart 这将创build与GUI工具完全相同的iptables条目,除非它不起作用: $ telnet xx.xxx.xx.xx 80 Trying xx.xxx.xx.xx… telnet: connect to address xx.xxx.xx.xx: Connection refused telnet: Unable to connect to remote host 更新: $ netstat -ntlp (No info could […]
安装Centos 5.8后,我无法使用nmap来获取任何打开的端口。 所以我运行命令#iptables –flush并开始工作。 但是,大约2天后,我无法再连接,只好运行命令。 1)我如何永久确保我的端口是开放的 2)由于我没有碰到iptables,可能是什么原因导致他们被closures?
我试图configuration我的VPS,所以它会主办一个团队的俚语服务器,但我已经遇到了一个障碍正确configurationiptables允许连接英寸我试图自己做,但我最终允许TCP而不是UDP 。 我该如何去删除这个和/或在9987规则允许UDPinput? '接受TCP – 任何地方tcp dpt:9987'
我需要一点帮助处理ddos。 我在服务器上遇到了1GB的ddos攻击,我不知道如何阻止它。 (1gbs是服务器的最大速度。) 我有以下的iptables规则: iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 80 -j ACCEPT iptables -A INPUT -p tcp –dport 8080 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -j DROP 但是使用tcpdump,我可以看到来自端口53的数据包 12:14:40.341410 IP […]