Сегодня немного о том, что делать, если с сервера идёт атака на сторонние сайты. Вот так можно быстро найти того, чьи скрипты генерируют исходящую с сервера атаку на админ-панели Wordpress:
Разумеется, вместо wp-login.php можно отлавливать любое другое вхождение. Подробнее об этом в очередной заметке.
#будничное #iptables
# iptables -I OUTPUT -p tcp -m tcp -m string --string "wp-login.php" --algo kmp --dport 80 -j LOG --log-prefix "Outgoing attack: " --log-level 4 --log-uidРазумеется, вместо wp-login.php можно отлавливать любое другое вхождение. Подробнее об этом в очередной заметке.
#будничное #iptables
May 10, 2017
Когда MASQUERADE на сервере настроить нельзя (например такое бывает на OpenVZ виртуалках), для работы OpenVPN можно использовать SNAT. Вот так:
Или уточнив источник:
#iptables #openvpn
# iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to-source 1.2.3.4Или уточнив источник:
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 1.2.3.4#iptables #openvpn
Telegram
Записки админа
Современные технологии и их глубокое проникновение в нашу жизнь, практически не оставляет шансов остаться анонимным условному Васяну, который ведёт переписку с так милой его сердцу условной Алисой. Однако современные же технологии позволяют обеспечить нам…
June 10, 2017
Простая разница в iptables:
В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.
#будничное #iptables
DROP - просто закрывает соединение и ничего не отправляет в ответ.REJECT - сбрасывает соединение и отправляет в ответ сообщение вида host is unreachable.В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.
#будничное #iptables
June 21, 2017
Обнаружилась очень удобная утилита для работы с подсетями и IP адресами:
https://github.com/firehol/iprange/
Умеет вычислять нужные подсети из разных диапазонов, что порой бывает необходимо, например, при работе с ipset и фаерволом на сервере.
В wiki проекта, в разделе Reducing ipsets, есть примеры оптимального вычисления нужных подсетей:
https://github.com/firehol/iprange/wiki#reducing-ipsets
#ipset #iprange #iptables
https://github.com/firehol/iprange/
Умеет вычислять нужные подсети из разных диапазонов, что порой бывает необходимо, например, при работе с ipset и фаерволом на сервере.
В wiki проекта, в разделе Reducing ipsets, есть примеры оптимального вычисления нужных подсетей:
https://github.com/firehol/iprange/wiki#reducing-ipsets
#ipset #iprange #iptables
GitHub
GitHub - firehol/iprange: manage IP ranges
manage IP ranges. Contribute to firehol/iprange development by creating an account on GitHub.
November 26, 2017
А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно.
📗 https://sysadmin.pm/block-tor-iptables-csf/
#iptables #ipset #csf
📗 https://sysadmin.pm/block-tor-iptables-csf/
#iptables #ipset #csf
January 9, 2018
🗜 Using iptables-nft: a hybrid Linux firewall. Для ситуаций, когда хочется от iptables-legacy уйти постепенно. И вот тут ещё немного простых примеров.
А я в своё время в блоге разбирался с nftables в этой заметке.
#nftables #iptables #напочитать
А я в своё время в блоге разбирался с nftables в этой заметке.
#nftables #iptables #напочитать
January 20, 2021
⚙️ Network address translation part 1 – packet tracing - занятное чтиво о том, как можно исследовать проблемы с NAT с помощью трейсинга в iptables/nftables. А с учётом того, что запланирована серия статей, это должно быть весьма интересно. #напочитать #iptables #nftables
February 7, 2021
Интересный подход к управлению фаерволами на большом количестве серверов: https://relaypro-open.github.io/dog/
#iptables #firewall
#iptables #firewall
May 26, 2021
📎 Визуализация цепочек iptables на сервере: https://github.com/Nudin/iptable_vis Удобно для ситуаций, когда нужно наглядно показать последовательность обработки правил. #iptables #фидбечат #будничное
July 11, 2021
🛠 Netfilter (nftables & iptables) firewall, with port knocking and multi-routing system - немножечко практик для iptables\nftables. #iptables #nftables #firewall
September 1, 2021
🛠 iptables-tracer - штуковина, с помощью которой можно посмотреть, проходит ли трафик через нужные нам цепочки iptables. Посмотрел и воспользовался сам, коротко описал в заметке:
📗 https://sysadmin.pm/iptables-tracer/
#iptables #trace #будничное
📗 https://sysadmin.pm/iptables-tracer/
#iptables #trace #будничное
Записки админа
iptables-tracer - Записки админа
iptables tracer - утилита, позволяющая отследить путь прохождения пакетов через цепочки iptables на сервере.
February 24, 2022