Регистрация Войти
Рейтинг:0
avatar Server

Iptables hitcount мгновенно блокирует ssh

флаг mx
xPalis 


-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m недавнее --update --seconds 180 --hitcount 3 --name DEFAULT --mask 255.255.255.255 --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m недавние --set --name DEFAULT --mask 255.255.255.255 --rsource
-A INPUT -p tcp -m tcp --dport 22 -j ПРИНЯТЬ

Вход по умолчанию должен быть установлен на БЛОК. Прежде чем кто-нибудь скажет, что я не должен использовать порт 22 по умолчанию для ssh, я не... это только для демонстрационных целей. И да, я не использую root-логин и использую ключи ssh. Теперь у меня есть nat vps с ограниченным количеством открытых портов, которые вы можете использовать, и если я попытаюсь использовать эти правила, я больше не смогу подключиться к vps по ssh. Все остальные правила работают нормально, кроме этих. Я попытался сохранить правила iptable по умолчанию, может быть, кто-нибудь может сказать мне, почему использование вышеуказанных правил на этом vps мгновенно блокирует подключение к ssh.

# Сгенерировано iptables-save v1.4.21, пятница, 5 ноября, 22:58:56 2021
*сырой
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [284:27162]
: ВЫВОД ПРИНЯТ [235:31044]
СОВЕРШИТЬ
# Завершено 5 ноября 22:58:56 2021 г.
# Сгенерировано iptables-save v1.4.21, пятница, 5 ноября, 22:58:56 2021
*натуральный
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [0:0]
:ВВОД ПРИНЯТЬ [0:0]
: ВЫВОД ПРИНЯТЬ [0:0]
:ОТПРАВКА ПРИНЯТИЯ [0:0]
СОВЕРШИТЬ
# Завершено 5 ноября 22:58:56 2021 г.
# Сгенерировано iptables-save v1.4.21, пятница, 5 ноября, 22:58:56 2021
*безопасность
:ВВОД ПРИНЯТЬ [284:27162]
:ВПЕРЕД ПРИНЯТЬ [0:0]
: ВЫВОД ПРИНЯТ [235:31044]
СОВЕРШИТЬ
# Завершено 5 ноября 22:58:56 2021 г.
# Сгенерировано iptables-save v1.4.21, пятница, 5 ноября, 22:58:56 2021
* калечить
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [284:27162]
:ВВОД ПРИНЯТЬ [284:27162]
:ВПЕРЕД ПРИНЯТЬ [0:0]
: ВЫВОД ПРИНЯТ [235:31044]
:ОТПРАВКА ПРИНЯТИЯ [235:31044]
СОВЕРШИТЬ
# Завершено 5 ноября 22:58:56 2021 г.
# Сгенерировано iptables-save v1.4.21, пятница, 5 ноября, 22:58:56 2021
*фильтр
:ВВОД ПРИНЯТЬ [284:27162]
:ВПЕРЕД ПРИНЯТЬ [0:0]
: ВЫВОД ПРИНЯТ [235:31044]
СОВЕРШИТЬ
# Завершено 5 ноября 22:58:56 2021 г.
60
0 + 0
Zareh Kasparian avatar
флаг us
Zareh Kasparian
используйте fail2ban с настроенной тюрьмой ssh.
0
Ответить
Ginnungagap avatar
флаг gu
Ginnungagap
Кроме того, `-m state` уже давно мертв, используйте `-m conntrack` с `--ctstate`. Или используйте nftables, так как сам iptables устарел;)
0
Ответить
флаг mx
xPalis
Привет, @Ginnungagap, спасибо за ответ, попробую, хотя мне кажется, что это все еще может не сработать ... Кстати, это на Centos 7
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.