Автор Тема: ip tables въпрос  (Прочетена 3807 пъти)

qvor16

  • Напреднали
  • *****
  • Публикации: 24
    • Профил
ip tables въпрос
« -: Jan 02, 2019, 00:10 »
Добър вечер и честита нова година, извинявам се ако темата ми не е в правилния раздел моля ако не е
модераторите да я преместят,

та въпроса ми е следния ограничавам връзките към даден порт на 3 от един ип адрес така:

Код:
iptables  -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

а как мога да задам на иптаблес примерно от ип:127,0,1 да има 1 връзка към даден порт.

тоест накратко казано искам към определен порт да задавам конекция по ип и лимит на връзката тоест от един ип примерно от един ип адрес да мога да се конектвам само 2 пъти, но аз да задавам ип адреса.

горния код ограничава към всички ип по 3 връзки.


Активен

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
Re: ip tables въпрос
« Отговор #1 -: Jan 02, 2019, 01:35 »
Лоша идея е да лимитираш нещо на 127.0.0.1,освен ако не си много наясно кой как и защо комуникира на този адрес и по съответните портове които филтрираш.

Нщото което търсиш е -s и -d оциите.

Код
GeSHi (Bash):
  1. iptables -A INPUT -s <ип адрес> -J DROP
Това филтрира всичко идващо от указания адрес.

Код
GeSHi (Bash):
  1. iptables -A INPUT -d <ип адрес> -J DROP
Това филтрира всичко отиващо към указания адрес.

Опциите са взаимно съвместими една с друга, както и с всяка от опциите които си дал за промер.
Активен

go_fire

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 8780
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: ip tables въпрос
« Отговор #2 -: Jan 02, 2019, 07:33 »
Този въпрос определено не е за секцията за начинаещи. Не е за там нищо, което касае iptables. Тук разглеждаме потребителите, не като по-опитни и по-малко опитни професионалисти, а като потребители с различен вид потребности. Едни искаме да си настроим субтитрите, други искате да си направите веригите.

=*=

Иначе не съм сигурен, това дали ще те спаси от flood. По-скоро не. Освен, ако ти си ISP.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: ip tables въпрос
« Отговор #3 -: Jan 02, 2019, 12:42 »
Не знам дали ще ти е полезно, ... но виж какво съм правил преди време:
Цитат
# Only for external interfaces
# The next two lines will stop every second SMTP connection from the same IP within 120 sec interval
iptables -A INPUT -p tcp -i $EXTERNAL1 --syn --dport 25 -m recent --name bad_smtp --update --seconds 120 -j DROP
iptables -A INPUT -p tcp -i $EXTERNAL1 --syn --dport 25 -m recent --name bad_smtp --set -j ACCEPT
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

growchie

  • Напреднали
  • *****
  • Публикации: 623
    • Профил
Re: ip tables въпрос
« Отговор #4 -: Jan 02, 2019, 13:04 »
Преди време коментирахме тук, че за целта може и да се ползват ipsets. Особено удобно е за повече айпиадреси и е по-бързо от resent. (Поне така се хвалят дивелъпърите му)
А от порта за който си попитал смея да предположа, че става въпрос за блокиране на брутфорс на ssh. Мога да препоръчам и да се пробва с fail2ban.
« Последна редакция: Jan 02, 2019, 13:10 от growchie »
Активен

Yasen6275

  • Напреднали
  • *****
  • Публикации: 553
    • Профил
Re: ip tables въпрос
« Отговор #5 -: Jan 02, 2019, 13:40 »
Или пък тотално да се забрани влизането с парола през ssh и да не се занимава с глупости.
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Re: ip tables въпрос
« Отговор #6 -: Jan 02, 2019, 20:16 »
или пък да си конфигурира един OpenVPN, който може да му е полезен и за други услуги/цели.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

qvor16

  • Напреднали
  • *****
  • Публикации: 24
    • Профил
Re: ip tables въпрос
« Отговор #7 -: Jan 05, 2019, 16:42 »
всъщност аз необясних добре въпроса ми е как мога да огранича връзките към даден порт,
примерно от един ип адрес да мога да се конектвам до 3 пъти, като аз задавам ип адреса,порта и клко пъти
да се конектна от даден ип към даден порт гледам в интернет има доста онлаин сървъри на дадени игри
които ограничават броя връзки на даден потребител, несъм тръгнал с геим сървъри да се занимавам
просто ми е любопитно под debian 9 може ли това да стане и ако може как се прави, според мен е с iptables и ufw, но несъм сигурен и затова питам вас благодаря ви.
иначе за ssh ползвам fail2ban и ми върши чудесна работа.
« Последна редакция: Jan 05, 2019, 16:46 от qvor16 »
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: ip tables въпрос
« Отговор #8 -: Jan 07, 2019, 13:31 »
И аз ползвам fail2ban (заб.: с крон за триене на дб-базата, че ми писна да взима по 2Г от RAM-а)
Пропоръчително е и да се смени порта на нестандартен за да не те флудят ботовете.

А за iptables - задължително policy DROP + white IP list. Първите 2 реда за INPUT веригата в 99.9999% от случаите са:

Код
GeSHi (Bash):
  1. iptables -P DROP
  2. iptables -I -i lo -j ACCEPT
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
Re: ip tables въпрос
« Отговор #9 -: Jan 07, 2019, 13:35 »
или пък да си конфигурира един OpenVPN, който може да му е полезен и за други услуги/цели.

Опитът ми показва, че за отдалечени машини без физически достъп това не е добра идея - имал съм поне 2 случая:
- изтекли сертификати;
- drop-ване на остарели алгоритми при ъпдейт, които обаче се все още се използват.
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
HTB hashing tables
Настройка на програми
rers32e 3 2495 Последна публикация Mar 23, 2006, 11:25
от
Pf и state tables
Настройки на софтуер
never_mind 0 1835 Последна публикация Jan 31, 2007, 22:33
от never_mind
IP Tables
Настройка на програми
Lucifer 7 3134 Последна публикация Feb 17, 2009, 19:27
от Lucifer
ip tables Mac adress filtering
Настройка на програми
thatsmeufo 13 4798 Последна публикация Dec 01, 2009, 16:27
от mkp
Настройки на IP Tables
Хардуерни и софтуерни проблеми
velchev 17 3944 Последна публикация Nov 22, 2011, 17:45
от velchev