Hej, szybkie pytanie. Na komputerze chciałbym używać swojego lokalnego DNS (bind9). Przekierowałem cały ruch DNS na niego przy użyciu iptables (wolałem tak niż modyfikować resolv). Wygląda, że działa bo w logach gdy robię ping wykop.pl to widzę teraz query. Chciałbym przejść do kolejnego etapu. Chciałbym dodać ip w ten sposób rozwiązane do ipset, aby było używane potem przez iptables.

Chodzi o to, że domyślnie użytkownik ma mieć zablokowany cały ruch wychodzący przezPokaż całość

Próbuję dodać regułę do iptables na malinie tak aby przez vpn #wireguard jendo konkretne ip mogło się dobrać tylko do jednego ip.

W skrócie
Cały ruch przez #wireguard (wg0) 10.6.0.0/24 jest dozwolony za wyjątkiem (wg0) 10.6.0.2 które może się komunikować tylko z (eth0) 192.168.0.143

Jakieś podpowiedzi jak to zrobić?Pokaż całość

Mam w kodzie wywołanie zewnętrznej usługi, do której nie mam dostępu (bo np. jest za VPN, albo jest czasowo niedostępna, ...).
Chciałbym podstawić lokalną zaślepkę, która zostanie wywołana zamiast tej oryginalnej usługi.
Załóżmy, że:
- wywołanie w kodzie PHP to: "http://10.0.0.10/costam.php"
- nie mogę tego adresu zmienić w kodzie
- wszystkie usługi typu PHP, Nginx, baza danych itp. działają w kontenerachPokaż całość

#sysadmin #linux #iptables

Ma ktoś fajnego takiego gotowca pod iptables? Najlepiej z komentarzami. Mialem kiedyś coś takiego i kupę lat mi się sprawdzało (plus swoje doklepalem) i działało miód malina a teraz szukam i nie zrobiłem backupu a serwer wygasł :(

#siecikomputerowe #linux
jest tu jakiś specjalista od #iptables?
mam setup taki:
- mam server vpn (ppp) na #raspberrypi, mam publiczne IP
- łączę się do niego lapkiem

na lapku chcę postawić jakiś serwer nasłuchujący na pocie ABC. jakie reguły iptables na malince ustawić, żeby port ABC był otwarty na publicznym IP?

Hej zamierzam kupić dedyka w hetzner i hostować serwery Rust, ale z tego co słyszałem to znacznie lepsze jest ovh jeśli chodzi o #ddos protection, lecz nie mają takiej fajnej oferty sprzętowej. Wobec czego zastanwiam się, żeby skonfigurować sobie jeszcze #iptables do obrony odpowiednio, jest tu ktoś kto byłby w stanie mi pomóc? #hosting #networking

Wykrycie i automatyczne wrzucenie do ipset to nie problem ale oczywiście zanim kretyn zorientuje się, że żaden z 20k proxy ip nie działa to jeszcze będzie próbował przez godzinę. A następnego dnia wróci z nową paczką adresów.

Jak się bronicie przed ddos/brute force lub podobnymi atakami, budujecie bazy adresów ip z publicznych list proxy i banujecie prewencyjnie całe bloki adresów?
Tylko skąd wziąć solidne info żeby przy okazji nie wyciąć legitnych użytkowników?Pokaż całość

#linux
#iptables
siemka porzuci ktos jakis dobry poradnik do iptables? mam skonfigurowanego dmz na moj serwerek i chcial bym zeby przez adres publiczny dalo sie tylko do vpn zalogowac a dalej zeby smigalo jak smiga

Jest tu jakiś życzliwy Mirek, który w miarę ogarnia jak loguje #linux, a właściwie to bardziej jak działają reguły #iptables? Bo mam następujący problem.
Serwer SSH otwarty na domyślnym porcie na świat, co chwilę jest odpytywany (brute force na root), i chciałem DROP-ić te pakiety jakimś prostym rozwiązaniem, żeby ograniczyć ilość wpisów w auth.log

/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEWPokaż całość

Mireczki robie zadanie do szkoly. Mam podsiec i 3 klientow w niej. Mam napisac skrypt iptables ktory:
- pozwala laczyc sie z dowolnymi stronami http/https i RDP
- umozliwia udostepnienie uslug ssh i http do internetu ale tylko dla systemow w sieci wewnetrznej
- wszystkie polaczenia maja byc logowane i chronione przed atakami typu flodding

Napisalem cos takiego:Pokaż całość

Pokaż spoiler

Mirki kurla pomocy.

Buduje sobie router ktory poprawnie przekazuje mi polaczenia pomiedzy dwoma interfejsami, miedzy Wlan0 (internet) a ue0 (LAN) ale chce zeby ten ruch zostal ponadto przekierowany przez transparetne proxy ktore mam na adresie 127.0.0.1:9040. Do dyspozycji mam IPFW (preferowane), PF, IPTABLES. Czy ktos bylby na tyle uprzejmy by powiedziec mi jak to zrobic?
Tutaj sa moje konfigi: (wykopowa edycja znieksztalca i powduje ze sa nieczytelne) https://forums.freebsd.org/threads/how-to-routing-traffic-under-transparent-proxy.66063/

Fajny, krótki artykuł o zabezpieczaniu SSH metodą port knocking.
How To Hide Your Ports With Port Knocking
#tutorial #infosec #linux #firewall #iptables

Mirasy jakiś dobry poradnik albo książka o #iptables? Przy okazji też jakaś dobra ogólna lektura o #linux

#linux #firewall #siecikomputerowe

#siecikomputerowe #linux #iptables
ma ktoś wpis do iptablesa co zablokuje mi wszystko poza Youtubem i siecią lokalną
czy raczej /etc/hosts?

Cześć, mam pytanie dot. iptables i NAT.
Używam tego rozwiązania:
https://wiki.gentoo.org/wiki/Home_Router#NAT_.28a.k.a._IP-masquerading.29
W regułkach dla NAT jest taki standard:

iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROPPokaż całość

Witajcie mirki.
Mam router TP-LINK z wgranym #gargoyle i chciałbym zablokować dostęp do Steam dla jednego komputera w sieci z IP 192.168.10.218 czy taka reguła z IP tables będzie poprawna?
iptables -A INPUT -s 192.168.10.218 -j DROP -p UDP --dport 27000:27050 (blokuję porty od 27000 do 27050 dla protokołu UDP)
Szczerze mówiąc to iptables zawsze było dla mnie trudne do zrozumienia i unikałem tematu jak wody, ale wydaje mi się,Pokaż całość

Mirasy, prosty wydawałoby się porforward

iptables -t nat -A PREROUTING -p tcp -d AAA.AAA.AAA.AAA --destination-port 12111 -j DNAT --to-destination BBB.BBB.BBB.BBB:12111

Chcę tym przekierować RDP z maszyny AAA na maszynę BBB. Problem jest taki, że BBB dopuszcza połączenia tylko z AAA, więc próbuję go oszukać przez forwarding. Tylko to nie działa :)
Pytanko - czy PREROUTING w ten sposób podmienia adres IP i BBB faktycznie widzi jakby się do niego AAA dobijało? Nie mam zaPokaż całość