Регистрация Войти
Рейтинг:0
avatar Ubuntu

Как заблокировать входящий трафик с IP-адресов на порт

флаг be
Kamil Skwirut

Как заблокировать все IP-адреса, откуда идет трафик, на моем Ubuntu 18.04 (на указанном порту) или просто регистрировать все IP-адреса, подключающиеся к этому порту, в .текст файл?

282
1 + 4
флаг cn
Rinzwind
См., например, https://askubuntu.com/a/638374/15811 2-я часть: https://askubuntu.com/a/920201/15811
0
Ответить
флаг be
Kamil Skwirut
Но как это зарегистрировать? можете привести примеры? «Я хочу заблокировать все IP-адреса, подключающиеся к порту, или перечислить их в текстовом файле»
0
Ответить
флаг cn
Rinzwind
2-я ссылка объясняет, как фильтровать. добавьте к нему `>> {logfile}"`
0
Ответить
флаг ru
Thomas Ward
Я бы посоветовал вам включить функцию ведения журнала, как было предложено, а затем установить и настроить `fail2ban`, а затем следить за журналами fail2ban, потому что они будут указывать, какие IP-адреса запускают для них автоматическую блокировку. Это также избавляет вас от необходимости заносить в черный список десятки IP-адресов вручную — пусть f2b автоматически блокирует их, когда они слишком много раз терпят неудачу или вызывают слишком много предупреждений. Имейте в виду, что любая машина, подключенная к Интернету, будет получать ТЫСЯЧИ IP-адресов по различным законным или незаконным (сервисные сканеры) причинам.
0
Ответить
Рейтинг:0
Doug Smythies avatar Ubuntu
флаг gn
Doug Smythies

Вы можете использовать два правила iptables: первое регистрирует событие; И второй, чтобы сбросить пакет.

Способ 1, на порт:

sudo iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "EMAIL:" --log-level info
sudo iptables -A INPUT -p tcp --dport 25 -j DROP
sudo iptables -A INPUT -p udp --dport 33434 -j LOG --log-prefix "PORT33434:" --информация на уровне журнала
sudo iptables -A INPUT -p udp --dport 33434 -j DROP

Способ 2, многопортовый:

sudo iptables -A INPUT -p udp -m multiport --dport 33434:33448 -j LOG --log-prefix "MULTIUDP:" --информация на уровне журнала
sudo iptables -A INPUT -p udp -m multiport --dport 33434:33448 -j DROP
sudo iptables -A INPUT -p tcp -m multiport --dport 23,2323 -j LOG --log-prefix "MULTITCP:" --информация на уровне журнала
sudo iptables -A INPUT -p tcp -m multiport --dport 23,2323 -j DROP

Записи журнала будут в /var/журнал/системный журнал. Пример из моей системы для этих правил (где я использую скрипт, и это фильтр исходного порта):

$IPTABLES -A INPUT -i $EXTIF -p tcp -m multiport --sport 80,443 -j LOG --префикс журнала "BAD80:" --информация уровня журнала
$IPTABLES -A INPUT -i $EXTIF -p tcp -m многопортовый --sport 80 443 -j DROP


doug@s15:~$ grep BAD80 /var/log/syslog | главный
1 августа 00:02:17 ядро ​​s15: [456814.408209] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =23.2.106.84 DST=173.180.45.4 LEN=44 TOS=0x08 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=51602 WINDOW=64240 RES=0x00 ACK SYN URGP=0
1 августа 00:08:37 ядро ​​s15: [457195.250598] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =130.211.9.161 DST=173.180.45.4 LEN=40 TOS=0x00 PREC=0x80 TTL=62 ID=0 DF PROTO=TCP SPT=443 DPT=26786 WINDOW=0 RES=0x00 RST URGP=0
1 августа 00:08:40 ядро ​​s15: [457198.217675] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =130.211.9.161 DST=173.180.45.4 LEN=40 TOS=0x00 PREC=0x80 TTL=62 ID=0 DF PROTO=TCP SPT=443 DPT=18153 WINDOW=0 RES=0x00 RST URGP=0
1 августа 00:09:02 ядро ​​s15: [457220.036071] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =23.2.106.84 DST=173.180.45.4 LEN=44 TOS=0x08 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=59130 WINDOW=64240 RES=0x00 ACK SYN URGP=0
1 августа 00:09:08 ядро ​​s15: [457226.325411] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =130.211.9.161 DST=173.180.45.4 LEN=40 TOS=0x00 PREC=0x80 TTL=62 ID=0 DF PROTO=TCP SPT=443 DPT=24461 WINDOW=0 RES=0x00 RST URGP=0
1 августа 00:15:34 ядро ​​s15: [457612.178539] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =130.211.9.161 DST=173.180.45.4 LEN=40 TOS=0x00 PREC=0x80 TTL=62 ID=0 DF PROTO=TCP SPT=443 DPT=31895 WINDOW=0 RES=0x00 RST URGP=0
1 августа 00:16:54 ядро ​​s15: [457691.594480] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =23.2.106.84 DST=173.180.45.4 LEN=44 TOS=0x08 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=52192 WINDOW=64240 RES=0x00 ACK SYN URGP=0
1 августа 00:22:29 ядро ​​s15: [458026.722346] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =130.211.9.161 DST=173.180.45.4 LEN=40 TOS=0x00 PREC=0x80 TTL=62 ID=0 DF PROTO=TCP SPT=443 DPT=20888 WINDOW=0 RES=0x00 RST URGP=0
1 августа 00:23:12 ядро ​​s15: [458069.616810] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =23.2.106.84 DST=173.180.45.4 LEN=44 TOS=0x08 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=52324 WINDOW=64240 RES=0x00 ACK SYN URGP=0
1 августа 00:23:35 ядро ​​s15: [458093.252954] BAD80:IN=enp1s0 OUT= MAC=68:05:ca:01:c5:e6:6c:be:e9:a7:f1:07:08:00 SRC =130.211.9.161 DST=173.180.45.4 LEN=40 TOS=0x00 PREC=0x80 TTL=62 ID=0 DF PROTO=TCP SPT=443 DPT=20218 WINDOW=0 RES=0x00 RST URGP=0

Видеть этот старый ответ за помощь в понимании записей журнала.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.