Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-12-16 04:45:37
mixus - Nowy użytkownik
- mixus
- Nowy użytkownik
- Zarejestrowany: 2013-12-16
Iptables + Xen
Cześć, posiadam na swoim dedyku wirtualne maszyny stojące na XEN (nie citrix) i próbuje skonfigurować iptables przed atakami/włamaniami i zablokować porty ssh ftp [..] lecz jak włączam iptables to blokuje moje aliasy ipv4 które są przypisane do każdego z vps jak i ping z vps urywa się wraz z połączeniem.
Oto mój skrypt:
Kod:
http://pastebin.com/vJp7UqfR
Opis:
INT_NET - główne ip
ADM - aliasy ip
I_TCP - porty otwarte
Skrypt pochodzi z http://blog.piotrbaran.com.pl/2011/08/podstawowa-ko … bles-dla.html , modyfikowałem go ale nic z tego więc prosiłbym aby ktoś mi z tym pomógł
Offline
#2 2013-12-16 05:44:50
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Iptables + Xen
RTFM:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter
http://jacekalex.sh.dug.net.pl/Iptables-packet-flow.png
Kod:
man iptables
A jak potrzebujesz pomoc, to pokaż jak reguły wyglądają w firewallu:
Kod:
iptables -S iptables -t nat -S iptables -t mangle -S iptables -t raw -S
I oczywiście pokaż, jak te "aliasy ipv4" robiłeś.
A to:
http://blog.piotrbaran.com.pl/2011/08/podstawowa-ko … bles-dla.html
robił nie Piotr Baran tylko prawdziwy baran.
# logowanie pakietow odrzuconych /var/log/messages
$IPTABLES -A INPUT ! -i lo -j LOG --log-prefix "DROP_INPUT: " --log-ip-options --log-tcp-options
$IPTABLES -A OUTPUT ! -o lo -j LOG --log-prefix "DROP_OUTPUT: " --log-ip-options --log-tcp-options
;;
Logowanie wszystkich odrzuconych pakietów w messages?
To będzie prawdopodobnie jakieś X GB logów dziennie, kto to będzie czytał?
W ten sposób tylko jeden atak ddos połozy serwer z powodu zapchania dysków logami. :D
A tam, gdzie naprawdę można ograniczyć możliwość ataku dos/ddos, czyli ochrona poszczególnych portów modułami limit, CONNLIMIT, HASHLIMIT czy RECENT, to już ani słowa, że takowe istnieją. :D
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2013-12-16 06:12:28)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline