Mudanças temporárias no iptables

Navegue suas respostas
1

Eu tenho um sistema remoto que eu SSH. Como estou planejando tornar este sistema mais acessível publicamente, quero melhorar minhas regras do iptables sobre a política atual de aceitar qualquer coisa.

Eu adicionei uma regra "iptables -A ENTRADA -p tcp --dport 22 -j ACCEPT", no entanto, eu realmente não quero mudar a regra padrão de uma maneira que eu possa me trancar para fora do sistema ( e um que me custaria um dia e uma tarifa de trem para resolver agora).

Existe alguma maneira de fazer alterações no iptables (como mudar a regra padrão para DROP) com um tempo limite de 5 minutos, então se eu fizer uma mudança errada e bloquear todo mundo, posso esperar um pouco e tentar de novo?

    
por Will 13.01.2014 / 15:24

4 respostas

0

Você deve ter, entre outras regras iptables , uma que declare: 

 sudo iptables -L
 Chain INPUT (policy ACCEPT)
 target     prot opt source               destination
 ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Se não o fizer, pode configurá-lo da seguinte forma: 

  sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

ou, se isso não funcionar, 

  sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Desta forma, a sessão a partir da qual você está modificando os iptables certamente não será afetada.

Agora você pode começar a modificar iptables como quiser e, quando quiser tentar uma nova regra, apenas inicie a partir do seu PC cliente uma sessão ssh distinta . A regra ESTABLISHED, RELACIONADA, não se aplica a esta nova sessão, para que você possa ver ao vivo se seus novos conjuntos de regras o interromperam, sem nenhum risco.

    
por 13.01.2014 / 18:35
0

Se você usar ipset , tudo pode ser automatizado 

 ipset create test hash:ip timeout 300

 iptables -A INPUT -p tcp -m tcp -m multiport -m state --state NEW -j SET --add-set test src ! --dports 25,80,993,5900
 iptables -A input_ext -m set -j DROP  --match-set test src

Altere a opção de portas para o que você quiser.

Precisa salvar a lista entre as reinicializações? 

   ipset save >backup.txt

Precisa de restaurar? 

   ipset restore <backup.txt

Você quer contadores de bytes de pacote?

adicione a palavra-chave counters ao final da instrução ipset create .

    
por 16.01.2014 / 06:05
0

A maioria das distribuições linux vem com o script iptables-apply já instalado ou disponível através do gerenciador de pacotes. Ele permitirá que você aplique um novo conjunto de regras iptables, e reverterá automaticamente se você não confirmar que eles funcionam dentro de um certo tempo.

    
por 16.01.2014 / 08:06
-1

Basta instalar o fail2ban e ativar o ssh e ssd-dos. Você pode definir o tempo banido facilmente. Por outro lado, instale outro acesso remoto, por ex. Webmin e execute-o em uma porta não padrão.

adicione estas linhas no filtro sshd.conf e adicione estas linhas no final da seção failregex

vi /etc/fail2ban/filter.d/sshd.conf

.... ^% (__ prefix_line) sConexão fechada por [preauth] $ ^% (__ prefix_line) sRecebe a desconexão de: 11: (Bye Bye)? [preauth] $ ^% (__ prefix_line) sRecebe a desconexão de: 3: \ S +: Auth falha $ ^% (__ prefix_line) s (?: error:)? Desconexão recebida de: 3:. *: Auth fail (?: [preauth])? $

link

    
por 22.08.2016 / 18:14

Tags

Existe uma maneira de enviar todo o tráfego da web através de um proxy sem usar o ddwrt em um roteador Asus? Conselhos para comprar um servidor para virtualização [fechado]