Само от любопитство, някой знае ли как може да се реализира подобно нещо с nftables. Не съм запознат много с него и не знам какви са му предимствата пред iptables.

С тези крипто вируси "разкази от криптата" всеки може да разкаже...

На моя сървър така или иначе работи Апаче, съм си направил една пхп форма защитена с парола която отваря набор от портове (iptables в шел скрипт), като си свърша работата ги затварям с копчето. Логовете са чисти като сълза, да ме сканират колкото си искат (народът е казал - покрито мляко, котки не го лочат).
Почукването на портове също е добра стратегия, но когато си на чужда Уиндоус машина е тегаво.

Това са добри практики, но със своите ограничения. Специално port knocking-а ми се струва непрактичен ако трябва постоянно да го извършваш от чужди клиентски машини. Освен това програмистите като цяло са мързеливо племе и изобщо не биха си направили труда да го имплементират програмно в софуера си.

Връзки на порт на който аз и един познат си пускаме наши неща. Напълно случаен е, няма как да се налучка. Първо аз го видях в моите логове, после изгря и в логовете на познатия ми. Ще видя сега дали това айпи пак ще се появи.

А това дето ще се защитава домашна машина ли е ? Или некав фирмен сървър ?

Машина в офис. В понеделник в логовете цъфна нещо което ме накара да се поразчовъркам по темата.

Знам за fail2ban. Предпочитам нещата свързани с мрежовото филтриране да се случват в кернелспейс.
Иначе горе трябва да се добави и правило за дропване на пакетите идващи от баннатите хостове. Някъде в началото на инпут чейна и при желание във форвард.

Целта ми е да блокирам сляпо сканиране на отворени портове. За сега това ми е идеята. Направих 4 сета:
ipset -N banned_hosts iphash
ipset -N second_strike_hosts iphash timeout 30
ipset -N first_strike_host iphash timeout 30
ipset -N retry_hosts hash:ip,port

Направих си верига SCAN_BLOCK която я апенднах към INPUT чейна:
iptables -A INPUT -p tcp -i enp17s10 -m multiport --destination-port 21,23,109,110,445,501,1000,1194,1200 -j SCAN_BLOCK
Примерно няколко портове които да са хем смесени стандартни върху които нямам услуги, хем нестандартни да подбера ако някой е решил да жъне наред.

SCAN_BLOCK веригата ми съдържа следното:

iptables -A SCAN_BLOCK -m set --match-set retry_host src,dst -j DROP
iptables -A SCAN_BLOCK -m set --set second_strike_hosts src -j SET --add-set banned_hosts src
iptables -A SCAN_BLOCK -m set --match-set first_strike_hosts src -j SET --add-set second_strike_hosts src
iptables -A SCAN_BLOCK -j SET --add-set first_strike_hosts src
iptables -A SCAN_BLOCK -j SET --add-set retry_host src,dst
iptables -A SCAN_BLOCK -j DROP

Надявам се че не съм объркал нещо копи/пействах от командния ред.
Идеята е следната, ако някой почне да шава по портовете попада съответно първо в първи списък, после във втори и накрая в перманентния бан. За да не попадне някой който просто ритрайва на порт се наложи да добавя още един временен списък където да пиша айпита и портове. за това са предпоследен и първи ред. Двата списъка за първи и втори страйк таймаутват за 30 секунди.
Перманентният не, както и тия дето жулят на един и същи порт безуспешно.

Това измислих на първо време, после ще оптимизирам. Трябва да измисля как да добавям айпита които пробват произволни глупости по уеб съръва да влизат в банлиста. командата е ясна ipset add нещо си там и айпито.

Да, аз така го правя, ама искам да блокирам и да съм информиран като някой малоумник реши да се тества да сканира надлъж и нашир. Сега ще тествам тия айпи сет-ове и ще пиша какво съм измислил.

Мисля, че ще ти бъде полезно да използваш ipsets. Твърдението е, че е подходящо за големи списъци и когато има притеснения относно производителността.

Edit: Сега се зачетох и поддържа и timeout на записите. Това мисля, че ще ти помогне до някаква степен с това списъка да остане сравнително малък.

Мерси, ще го погледна това.

Абе и аз така бях решил, но като тръгнах да го реализирам с iptables осъзнах, че ще трябва да поддържам едни списъци, които са видими през /proc/net/xt_recent и като гледам как потенциално биха набъбнали започнах да се притеснявам. На практика като хвана бот трябва да го набутам в един несортиран списък и да започна в началото на инпут веригата да проверявам ВСЯКА нова входяща връзка дали не идва от блокирано айпи. Другото нещо което забелязах, е че файла не се чисти, а просто към айпи-то се добавя сигнатурата за последния пакет и от там се определя и кога за последно е имало връзка от дадения хост.
Нещото от което се опасявам, че след 2-3 месеца списъкът може да набъбне доста и да имам да проверявам в тлъста база всеки път преди да разреша връзка. В действителност, нямам си представа как са реализирани алгоритмите в модула и какво пърформънс пенълти ще се натрупа след известно време. Може и изобщо да не е някакъв проблем.

Почвам да се чудя има ли изобщо смисъл да блокирам порт сканирането при положение, че публичните ми портове така и така трябва да са отворени, а останалите са на дроп. Напълнило се е с всякакви ботове и ми се струва, че е пилеене на ресурс да се опитвам да изследвам и блокирам всеки по отделно и да поддържам списъци вместо да го оставям да си фейват заявките му.
Ако имате някакви други съображения защо би трябвало да блокирам сканирането на общо основание ще ми е интересно да чуя.

Правилно ли разбирам, инсталираш OpenMediaVault след това вътре слагаш VirtualBox и в него пускаш pfsence?! Идеята ти е пакетите да отиват през опънмедиаваута към върчулбокса и от там през хост само мрежа пак на медиаваута? Ако правилно съм разбрал малко объркано ми звучи. Просто няма нищо в pfsence което да не може да се направи с iptables под линукс а и vpn също лесно се пуска, не разбирам каква ти е идеята за виртуализацията.

Мда. На този феномен се вика slop space allocation. Примерно за да може да се трият файлове дори когато фс-а е пълен му трябва празно пространство. Било 1/32 от размера на пула.

https://utcc.utoronto.ca/~cks/space/blog/solaris/ZFSSpaceReportDifference

Виж и този инструмент http://wintelguy.com/zfs-calc.pl
Може да ти е интересно.

Предполагам, че това са резервирани за метаданни. Дяловете са запълнени с данни, нали така?

Я дай аутпута на zpool status.