Treść przeznaczona dla osób powyżej 18 roku życia...
Wszystko
Najnowsze
Archiwum
@Czlowiek_Ludzki: Ja miałem może to samo. Pomogło puszczenie całego ruchu przez firewall oracle i ustawienie własnego na vm.
konto usunięte via Wykop
o juz dziala
@Czlowiek_Ludzki: takie awarie są najlepsze xd
Ostatnio miałem podobną magiczną awarie. Aby coś pomoc, powiedziałem technikowi w pracy, aby wpisal jakaś tam komendę, po czym zaczęło wszystko
Próbuję dodać regułę do iptables na malinie tak aby przez vpn #wireguard jendo konkretne ip mogło się dobrać tylko do jednego ip.
W skrócie
Cały ruch przez #wireguard (wg0) 10.6.0.0/24 jest dozwolony za wyjątkiem (wg0) 10.6.0.2 które może się komunikować tylko z (eth0) 192.168.0.143
Jakieś podpowiedzi jak to zrobić?
W skrócie
Cały ruch przez #wireguard (wg0) 10.6.0.0/24 jest dozwolony za wyjątkiem (wg0) 10.6.0.2 które może się komunikować tylko z (eth0) 192.168.0.143
Jakieś podpowiedzi jak to zrobić?
@Niewpisze: ale 10.6.0.2 to adres mieszczący się w tej sieci wg0, jak miałby komunikować się z eth0, czy ja głupi jestem?
Komentarz usunięty przez autora
Mam w kodzie wywołanie zewnętrznej usługi, do której nie mam dostępu (bo np. jest za VPN, albo jest czasowo niedostępna, ...).
Chciałbym podstawić lokalną zaślepkę, która zostanie wywołana zamiast tej oryginalnej usługi.
Załóżmy, że:
- wywołanie w kodzie PHP to: "http://10.0.0.10/costam.php"
- nie mogę tego adresu zmienić w kodzie
- wszystkie usługi typu PHP, Nginx, baza danych itp. działają w kontenerach
Chciałbym podstawić lokalną zaślepkę, która zostanie wywołana zamiast tej oryginalnej usługi.
Załóżmy, że:
- wywołanie w kodzie PHP to: "http://10.0.0.10/costam.php"
- nie mogę tego adresu zmienić w kodzie
- wszystkie usługi typu PHP, Nginx, baza danych itp. działają w kontenerach
@korni007: nie gotowiec, ale sporo przydatnych wpisów https://github.com/trimstray/iptables-essentials
#siecikomputerowe #linux
jest tu jakiś specjalista od #iptables?
mam setup taki:
- mam server vpn (ppp) na #raspberrypi, mam publiczne IP
- łączę się do niego lapkiem
na lapku chcę postawić jakiś serwer nasłuchujący na pocie ABC. jakie reguły iptables na malince ustawić, żeby port ABC był otwarty na publicznym IP?
jest tu jakiś specjalista od #iptables?
mam setup taki:
- mam server vpn (ppp) na #raspberrypi, mam publiczne IP
- łączę się do niego lapkiem
na lapku chcę postawić jakiś serwer nasłuchujący na pocie ABC. jakie reguły iptables na malince ustawić, żeby port ABC był otwarty na publicznym IP?
Hej zamierzam kupić dedyka w hetzner i hostować serwery Rust, ale z tego co słyszałem to znacznie lepsze jest ovh jeśli chodzi o #ddos protection, lecz nie mają takiej fajnej oferty sprzętowej. Wobec czego zastanwiam się, żeby skonfigurować sobie jeszcze #iptables do obrony odpowiednio, jest tu ktoś kto byłby w stanie mi pomóc? #hosting #networking
@KondominiumKatoSocjalistyczne: Hej, ja pomogę chętnie. Zajmuje się zabezpieczaniem serwerów :)
@Rexikon: tak bede jeszcze ogladam sobie filmik o administracji linuxem i jak skoncze to biore się za konfiguracje, najpierw chce sam spróbować :)
Wykrycie i automatyczne wrzucenie do ipset to nie problem ale oczywiście zanim kretyn zorientuje się, że żaden z 20k proxy ip nie działa to jeszcze będzie próbował przez godzinę. A następnego dnia wróci z nową paczką adresów.
Jak się bronicie przed ddos/brute force lub podobnymi atakami, budujecie bazy adresów ip z publicznych list proxy i banujecie prewencyjnie całe bloki adresów?
Tylko skąd wziąć solidne info żeby przy okazji nie wyciąć legitnych użytkowników?
Jak się bronicie przed ddos/brute force lub podobnymi atakami, budujecie bazy adresów ip z publicznych list proxy i banujecie prewencyjnie całe bloki adresów?
Tylko skąd wziąć solidne info żeby przy okazji nie wyciąć legitnych użytkowników?
@oczkers: ile masz łącznie wpisów IP?
@Rexikon: chyba coś koło miliona normalnie, a później koło miliarda bo sam firehol na 1lvl który teoretycznie powinien być zawsze zablokowany daje 600mln ;-) ale część z tego jest na whiteliście bo lądują tam też np dnsy z racji podatności na wykorzystywanie w atakach czy wszystkie ip z lanu.
Jak chcesz same proxy to firehol_anonymous + dronbl ale tam niestety nie udostępniają pełnej listy więc trzeba robić dnsowe requesty jak
Jak chcesz same proxy to firehol_anonymous + dronbl ale tam niestety nie udostępniają pełnej listy więc trzeba robić dnsowe requesty jak
@Entity: zrób przez firewallda albo ufw, chyba będzie ci szybciej i wygodniej.
Jest tu jakiś życzliwy Mirek, który w miarę ogarnia jak loguje #linux, a właściwie to bardziej jak działają reguły #iptables? Bo mam następujący problem.
Serwer SSH otwarty na domyślnym porcie na świat, co chwilę jest odpytywany (brute force na root), i chciałem DROP-ić te pakiety jakimś prostym rozwiązaniem, żeby ograniczyć ilość wpisów w auth.log
Serwer SSH otwarty na domyślnym porcie na świat, co chwilę jest odpytywany (brute force na root), i chciałem DROP-ić te pakiety jakimś prostym rozwiązaniem, żeby ograniczyć ilość wpisów w auth.log
/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW
@balrog84: trochę z innej strony. Możesz zainstalować sobie fail2ban, który zrobi to wszystko za Ciebie, także na innych usługach. No chyba, że chcesz się iptables uczyć ;)
@balrog84: na chłopski rozum, pierwsze dopasowanie decyduje o pakiecie.
a) dopasujesz wszystko, do dropa nigdy nie dojdzie
b) drop decyduje, do accepta dojdzie wszystko co nie spasowało przed chwilą
a) dopasujesz wszystko, do dropa nigdy nie dojdzie
b) drop decyduje, do accepta dojdzie wszystko co nie spasowało przed chwilą
Atak DDOS od Amazon Invited DDoS Attack On Prime Day
PROPFIND HTTP/1.0 GET /webdav/ GET /wp-login.php POST /xmlrpc.php Błąd serwera 400 i 408 :)
z- 13
- #
- #
- #
- #
- #
- #
Mireczki robie zadanie do szkoly. Mam podsiec i 3 klientow w niej. Mam napisac skrypt iptables ktory:
- pozwala laczyc sie z dowolnymi stronami http/https i RDP
- umozliwia udostepnienie uslug ssh i http do internetu ale tylko dla systemow w sieci wewnetrznej
- wszystkie polaczenia maja byc logowane i chronione przed atakami typu flodding
Napisalem cos takiego:
- pozwala laczyc sie z dowolnymi stronami http/https i RDP
- umozliwia udostepnienie uslug ssh i http do internetu ale tylko dla systemow w sieci wewnetrznej
- wszystkie polaczenia maja byc logowane i chronione przed atakami typu flodding
Napisalem cos takiego:
Mirki kurla pomocy.
Buduje sobie router ktory poprawnie przekazuje mi polaczenia pomiedzy dwoma interfejsami, miedzy Wlan0 (internet) a ue0 (LAN) ale chce zeby ten ruch zostal ponadto przekierowany przez transparetne proxy ktore mam na adresie 127.0.0.1:9040. Do dyspozycji mam IPFW (preferowane), PF, IPTABLES. Czy ktos bylby na tyle uprzejmy by powiedziec mi jak to zrobic?
Tutaj sa moje konfigi: (wykopowa edycja znieksztalca i powduje ze sa nieczytelne) https://forums.freebsd.org/threads/how-to-routing-traffic-under-transparent-proxy.66063/
konto usunięte via Wykop Mobilny (Android)
Komentarz usunięty przez autora
@Iceash: Jak na FreeBSD to zrób jak człowiek na PFie. Na pewno w sieci znajdziesz jak to ugryźć.
O pierwsze z brzegu, np.
https://www.benzedrine.ch/transquid.html
RESZTA
O pierwsze z brzegu, np.
https://www.benzedrine.ch/transquid.html
RESZTA
najbardziej sensowny element całego łańcucha zabezpieczeń.
Jak u Ciebie to coś jest bardziej sensowne niż klucze kryptograficzne czy IPSec to gratuluję świetnego samopoczucia.
@maniac777: Czy gdziekolwiek stwierdziłem, że port knocking jest silniejszym zabezpieczeniem niż klucze kryptograficzne czy IPSec? Z całym szacunkiem, może znasz się na bezpieczeństwie systemów IT ale czytać to Ty nie umiesz. Nie przypisuj mi słów, których nie powiedziałem. Ok?
Mirasy jakiś dobry poradnik albo książka o #iptables? Przy okazji też jakaś dobra ogólna lektura o #linux
#linux #firewall #siecikomputerowe
#linux #firewall #siecikomputerowe
Komentarz usunięty przez moderatora
Linux iptables Firewall Simplified Examples - Like Geeks
Learn about iptables firewall, Chains, Policies, Adding, Deleting, Replacing, Saving and Listing Rules, Block ICMP Packets, Blocking Bad Flags, SYN Flooding
z- 6
- #
- #
- #
- #
#siecikomputerowe #linux #iptables
ma ktoś wpis do iptablesa co zablokuje mi wszystko poza Youtubem i siecią lokalną
czy raczej /etc/hosts?
ma ktoś wpis do iptablesa co zablokuje mi wszystko poza Youtubem i siecią lokalną
czy raczej /etc/hosts?
@wytrzzeszcz: To się chwali tym, że potrzebuje tylko 2mb: https://tinyproxy.github.io
@wytrzzeszcz: Możesz spróbować ale nie wiem jak zrobić listę wszystkich adresów youtuba, dodatkowo. Ustawiasz politykę przychodzących i wychodzących na deny i po kolei dodajesz, najpierw zakres sieci lokalnej, a potem adresy yt. Ale niestety nie powiem ci jak to dokładnie zrobić i wydaje mi się że trzeba jakąś sztuczkę zastosować bo może ci źle odfiltrowywać pakiety. Robiłem takie rzeczy kilka lat temu dla fb ale obecnie nie pamietam za dużo
Cześć, mam pytanie dot. iptables i NAT.
Używam tego rozwiązania:
https://wiki.gentoo.org/wiki/Home_Router#NAT_.28a.k.a._IP-masquerading.29
W regułkach dla NAT jest taki standard:
Używam tego rozwiązania:
https://wiki.gentoo.org/wiki/Home_Router#NAT_.28a.k.a._IP-masquerading.29
W regułkach dla NAT jest taki standard:
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
Witajcie mirki.
Mam router TP-LINK z wgranym #gargoyle i chciałbym zablokować dostęp do Steam dla jednego komputera w sieci z IP 192.168.10.218 czy taka reguła z IP tables będzie poprawna?
iptables -A INPUT -s 192.168.10.218 -j DROP -p UDP --dport 27000:27050 (blokuję porty od 27000 do 27050 dla protokołu UDP)
Szczerze mówiąc to iptables zawsze było dla mnie trudne do zrozumienia i unikałem tematu jak wody, ale wydaje mi się,
Mam router TP-LINK z wgranym #gargoyle i chciałbym zablokować dostęp do Steam dla jednego komputera w sieci z IP 192.168.10.218 czy taka reguła z IP tables będzie poprawna?
iptables -A INPUT -s 192.168.10.218 -j DROP -p UDP --dport 27000:27050 (blokuję porty od 27000 do 27050 dla protokołu UDP)
Szczerze mówiąc to iptables zawsze było dla mnie trudne do zrozumienia i unikałem tematu jak wody, ale wydaje mi się,
@mariecziek:
1. musisz użyć łańcucha FORWARD, a nie INPUT
2. aby odblokować najlepiej regułę usunąć, bo jak zmienisz DROP na ACCEPT to dodasz kolejną regułę dalej w kolejności i gość pozostanie zablokowany, bo firewall przetwarza reguły w kolejności
1. musisz użyć łańcucha FORWARD, a nie INPUT
2. aby odblokować najlepiej regułę usunąć, bo jak zmienisz DROP na ACCEPT to dodasz kolejną regułę dalej w kolejności i gość pozostanie zablokowany, bo firewall przetwarza reguły w kolejności
@Solitary_Man: wiem, że zrobi, ale chodzi mi o to, że tutaj: http://i.share.pho.to/71161395_o.png mam do wyboru trzy opcje: block all, block only, block all except. Czyli mam wrażenie, że zablokuję wszystko + będę miał regułkę blokowania steam. Dlatego pomyślałem, że lepszym wyborem będzie po prostu dodanie reguły do iptables. Zablokuję wtedy tylko steam, no i będę wiedział jak korzystać z iptables :)
Mirasy, prosty wydawałoby się porforward
Chcę tym przekierować RDP z maszyny AAA na maszynę BBB. Problem jest taki, że BBB dopuszcza połączenia tylko z AAA, więc próbuję go oszukać przez forwarding. Tylko to nie działa :)
Pytanko - czy PREROUTING w ten sposób podmienia adres IP i BBB faktycznie widzi jakby się do niego AAA dobijało? Nie mam za
iptables -t nat -A PREROUTING -p tcp -d AAA.AAA.AAA.AAA --destination-port 12111 -j DNAT --to-destination BBB.BBB.BBB.BBB:12111 Chcę tym przekierować RDP z maszyny AAA na maszynę BBB. Problem jest taki, że BBB dopuszcza połączenia tylko z AAA, więc próbuję go oszukać przez forwarding. Tylko to nie działa :)
Pytanko - czy PREROUTING w ten sposób podmienia adres IP i BBB faktycznie widzi jakby się do niego AAA dobijało? Nie mam za
Chodzi o to, że domyślnie użytkownik ma mieć zablokowany cały ruch wychodzący przez
Zamieniłem bind9 na dnsmasq i on ładnie wrzuca do ipset. Tam skonfigurowałem kilka domen, które są zaakceptowane i dziecko może wchodzić jedynie na podane domeny w dnsmasq.conf potem mam reguły w iptables:
$ sudo iptables --list
Chain INPUT (policy ACCEPT)
target prot