понедельник, 21 ноября 2011 г.
Полный NAT
eth0 - wan
eth1 - lan
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
eth1 - lan
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables от брутфорса
iptables -t filter -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 600 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 600 --hitcount 3 --rttl --name SSH -j DROP
Этими двумя правилами устанавливаем запись в системный лог попыток брутфорса, а также блокируем брутфорсера. Параметр --seconds устанавливает время в секундах, в течении которых проводится наблюдение за доступом к порту, параметр --hitcount устанавливает число разрешенных попыток.
При применении этих правил будет следующий эффект: нельзя в течении десяти минут подключиться на порт SSH более 3х раз. Защита очень простая и эффективная.
iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 600 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
iptables -t filter -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 600 --hitcount 3 --rttl --name SSH -j DROP
Этими двумя правилами устанавливаем запись в системный лог попыток брутфорса, а также блокируем брутфорсера. Параметр --seconds устанавливает время в секундах, в течении которых проводится наблюдение за доступом к порту, параметр --hitcount устанавливает число разрешенных попыток.
При применении этих правил будет следующий эффект: нельзя в течении десяти минут подключиться на порт SSH более 3х раз. Защита очень простая и эффективная.