Linux за българи: Форуми

Добър вечер и честита нова година, извинявам се ако темата ми не е в правилния раздел моля ако не е
модераторите да я преместят,

та въпроса ми е следния ограничавам връзките към даден порт на 3 от един ип адрес така:


а как мога да задам на иптаблес примерно от ип:127,0,1 да има 1 връзка към даден порт.

тоест накратко казано искам към определен порт да задавам конекция по ип и лимит на връзката тоест от един ип примерно от един ип адрес да мога да се конектвам само 2 пъти, но аз да задавам ип адреса.

горния код ограничава към всички ип по 3 връзки.

Лоша идея е да лимитираш нещо на 127.0.0.1,освен ако не си много наясно кой как и защо комуникира на този адрес и по съответните портове които филтрираш.

Нщото което търсиш е -s и -d оциите.

GeSHi (Bash):
iptables -A INPUT -s <ип адрес> -J DROP

Това филтрира всичко идващо от указания адрес.

GeSHi (Bash):
iptables -A INPUT -d <ип адрес> -J DROP

Това филтрира всичко отиващо към указания адрес.

Опциите са взаимно съвместими една с друга, както и с всяка от опциите които си дал за промер.

Този въпрос определено не е за секцията за начинаещи. Не е за там нищо, което касае iptables. Тук разглеждаме потребителите, не като по-опитни и по-малко опитни професионалисти, а като потребители с различен вид потребности. Едни искаме да си настроим субтитрите, други искате да си направите веригите.

=*=

Иначе не съм сигурен, това дали ще те спаси от flood. По-скоро не. Освен, ако ти си ISP.

Не знам дали ще ти е полезно, ... но виж какво съм правил преди време:

# Only for external interfaces
# The next two lines will stop every second SMTP connection from the same IP within 120 sec interval
iptables -A INPUT -p tcp -i $EXTERNAL1 --syn --dport 25 -m recent --name bad_smtp --update --seconds 120 -j DROP
iptables -A INPUT -p tcp -i $EXTERNAL1 --syn --dport 25 -m recent --name bad_smtp --set -j ACCEPT

Преди време коментирахме тук, че за целта може и да се ползват ipsets. Особено удобно е за повече айпиадреси и е по-бързо от resent. (Поне така се хвалят дивелъпърите му)
А от порта за който си попитал смея да предположа, че става въпрос за блокиране на брутфорс на ssh. Мога да препоръчам и да се пробва с fail2ban.

Или пък тотално да се забрани влизането с парола през ssh и да не се занимава с глупости.

или пък да си конфигурира един OpenVPN, който може да му е полезен и за други услуги/цели.

всъщност аз необясних добре въпроса ми е как мога да огранича връзките към даден порт,
примерно от един ип адрес да мога да се конектвам до 3 пъти, като аз задавам ип адреса,порта и клко пъти
да се конектна от даден ип към даден порт гледам в интернет има доста онлаин сървъри на дадени игри
които ограничават броя връзки на даден потребител, несъм тръгнал с геим сървъри да се занимавам
просто ми е любопитно под debian 9 може ли това да стане и ако може как се прави, според мен е с iptables и ufw, но несъм сигурен и затова питам вас благодаря ви.
иначе за ssh ползвам fail2ban и ми върши чудесна работа.

И аз ползвам fail2ban (заб.: с крон за триене на дб-базата, че ми писна да взима по 2Г от RAM-а)
Пропоръчително е и да се смени порта на нестандартен за да не те флудят ботовете.

А за iptables - задължително policy DROP + white IP list. Първите 2 реда за INPUT веригата в 99.9999% от случаите са:

GeSHi (Bash):
iptables -P DROP
iptables -I -i lo -j ACCEPT

или пък да си конфигурира един OpenVPN, който може да му е полезен и за други услуги/цели.

Опитът ми показва, че за отдалечени машини без физически достъп това не е добра идея - имал съм поне 2 случая:
- изтекли сертификати;
- drop-ване на остарели алгоритми при ъпдейт, които обаче се все още се използват.