IPTables

При покупке нового VPS сервера поставил перед собой задачи большей защищённости SSH. Конечно можно перенести SSH на другой порт, в следствии чего количество попыток взлома очень сильно падает, но это не мой вариант. Что будем делать: установим базу GeoIP, привяжем её к iptables, разрешим доступ к SSH только из нужной нам страны (UA), даже для Украины повесим fail2ban, для желающих попробовать свои возможности во взломах SSH с Украины. Зачем эти сложности, ведь можно только моему IP разрешить доступ?...

Решил запомнить для себя те правила, которые обычно ищу… Для защиты ssh не обязательно ставить fail2ban, Или что-то подобное. Они конечно позволяют настраивать баны более куда более гибко, но сегодня речь о другом способе. 1 2 3 4 5 6 7 8 9 10 11 12 iptables -N ssh_brute_check # Создаем цепочку для проверки попыток соединений на защищаемый порт # Если за последние 10 минут (600 секунд) с одного адреса было 3 или более НОВЫХ соединений — блокируем этот адрес # (не забывайте что за одно соединение у клиента есть несколько попыток авторизации на ssh) iptables -A ssh_brute_check -m recent --update --seconds 600 --hitcount 3 -j DROP # В противном случае — разрешаем, и при этом заносим в список iptables -A ssh_brute_check -m recent --set -j ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Разрешаем пакеты по установленным соединениям # Все попытки открыть новое соединение по SSH направляем на проверку iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ssh_brute_check # Здесь можно разрешать те порты, для которых такая проверка не нужна....

В debian и ubuntu добавили пакет iptables-persistent который использует iptables-save/iptables-restore 1 2 #service iptables-persistent Usage: /etc/init.d/iptables-persistent {start|restart|reload|force-reload|save|flush} после настройки правил как нужно, сделать service iptables-persistent save и при следующей загрузке они будут применены.

Для управления iptables в debian 7, 8 удобно использовать netfilter-persistent (iptables-persistent). 1 2 3 apt-get update apt-get install netfilter-persistent chkconfig chkconfig netfilter-persistent on Управление производится простыми командами 1 2 3 4 invoke-rc.d netfilter-persistent {flush, force-reload, reload, restart, save, start} flush - очистить правила reload - загрузить из файлов save - сохранить в файлы Правила хранятся в файлах 1 2 /etc/iptables/rules.v4 /etc/iptables/rules.v6 Соответственно для IPv4 и IPv6. В ранних версиях debian этот пакет назывался iptables-persistent....