[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[maxx2]

просто это правило создала панель управления vesta, а данный ip это ip текущего сервера (который я указал вместо домена при настройке)

[fisher74]

Очевидно, чтобы Вы не потеряли управление. Хотя возможны и другие мотивы.

[Antares111]

Есть FTP сервер за шлюзом, работа в пассивном режиме. На шлюзе публикация порта 21 (snat). Подскажите как в iptables логировать пакеты в которых бы встречалось фраза "FTP: USER" ? Хочу видит с какого ip проходят неудачные попытки авторизации. 

[AnrDaemon]

Логируйте на FTP сервере.

[achilles_85]

Помогите понять

Код: [Выделить]

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.100.0/24 -i tun0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
Ман читал, но все равно не дотукался. Простым языком объясните пожалуйста чем занимаются эти правила

[AnrDaemon]

1. Используйте -m conntrack везде вместо -m state, с соответствующими поправками команд.
2. Что именно непонятно? Перепечатывать `man iptables` тут никто не будет.

Статусы пакетов:
NEW - понятно, совершенно новое соединение.
ESTABLISHED - пакеты, идущие по ранее установленному соединению.
RELATED - НОВЫЕ пакеты, относящиеся к ранее установленному соединению (например, FTP-DATA от ранее установленного FTP, или GRE от ранее согласованного PPTP).
DNAT - пакеты, завёрнутые перенаправлением ранее (-j DNAT …).
INVALID - пакеты, определённые как невозможные в рамках протокола.

[humaxoid]

Перешел на Ubuntu Server v.18.04. Не удобен мне netfilter-persistent. Классика жанра- куда привычней писать правила в какой нибудь загрузочный скрипт, который стартовал бы после загрузки сетевых интерфейсов. В других классических дистрах достаточно написать какой нибудь стартовый скрипт типа rc.iptables или тупо закинуть правила в rc.local А в бубне куда  iptables правила можно закинуть?

[AnrDaemon]

Смотря какой сетевой менеджер используется.
У меня ifupdown, так что /etc/networking/if-up.d/iptables-rules