Форум русскоязычного сообщества Ubuntu


Автор Тема: iptables  (Прочитано 651 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Ismagilo

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
iptables
« : 29 Ноябрь 2017, 19:03:16 »
привет всем, помогите плиз понять как работает данное правило

iptables -A INPUT -p tcp --dport 30033 -m limit --limit 2/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 30033 -m limit --limit 2/sec --limit-burst 20 -j LOG --log-prefix "TCP-FLOOD:"
iptables -A INPUT -p tcp --dport 30033 -j DROP

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: iptables
« Ответ #1 : 29 Ноябрь 2017, 19:22:00 »
Давайте сначала Ваше мнение.
Кстати, правил в Вашем листинге три, но все они работают в одной связке.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27412
    • Просмотр профиля
Re: iptables
« Ответ #2 : 29 Ноябрь 2017, 19:32:16 »
"-m limit --limit 2/sec --limit-burst 20" во втором правиле лишнее.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: iptables
« Ответ #3 : 29 Ноябрь 2017, 20:52:59 »
лишнее, но не мешающее (пожалуй только чуть больше ядро напрягает)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

alexxnight

  • Гость
Re: iptables
« Ответ #4 : 29 Ноябрь 2017, 21:21:44 »
Предыдущий оратор прав, в этом виде 2 правило не сработает ни при каких обстоятельствах.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: iptables
« Ответ #5 : 29 Ноябрь 2017, 21:34:26 »
Предыдущий оратор прав, в этом виде 2 правило не сработает ни при каких обстоятельствах.
Да Вы что? А чего это мы тогда тут собрались?

И прошу заметить, AnrDaemon не про всё второе правило сказал, а только про его условия.
Само-то правило желательно оставить, для ...
а на это пусть сам автор топика попробует ответить.
« Последнее редактирование: 29 Ноябрь 2017, 21:40:40 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Ismagilo

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: iptables
« Ответ #6 : 29 Ноябрь 2017, 21:49:26 »
исправте меня пожалуиста. если я ошибся где то

Код: PHP
  1. #!/bin/sh
  2.  
  3. if [ "$1" = "stop" ]
  4. then
  5.  
  6. echo "O4UCKA firewalla"
  7. iptables -F
  8. iptables -t mangle -F
  9. iptables -P FORWARD ACCEPT
  10. iptables -P INPUT ACCEPT
  11. iptables -P OUTPUT ACCEPT
  12. iptables -X syn-flood
  13. /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
  14. /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  15. /bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route
  16. /bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects
  17. /bin/echo "0" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  18. /bin/echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter
  19. /bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians
  20. echo "O4UCTKA 3ABEPWEHA"
  21. fi
  22.  
  23. echo "Firewal: HA4AJIO"
  24.  
  25. iptables -F -t nat
  26. iptables -X -t nat
  27. iptables -F -t filter
  28. iptables -X -t filter
  29.  
  30. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  31. echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
  32. echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
  33. echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  34. echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
  35. echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
  36.  
  37.  
  38. #Даем доступ к YatQA
  39. iptables -I INPUT -p tcp -s 127.0.0.1 --dport 10011 -j ACCEPT
  40. iptables -I INPUT -p tcp -s 92.63.203.00 --dport 10011 -j ACCEPT
  41. iptables -A INPUT -p tcp --destination-port 10011 -m iprange --src-range 77.40.0.0-77.40.127.255 -j ACCEPT
  42.  
  43.  
  44.  
  45.  
  46. #доступ для мониторинга gametrackera.
  47. iptables -I INPUT -p tcp -s 208.167.241.190 --dport 10011 -j ACCEPT
  48. iptables -I INPUT -p tcp -s 208.167.241.185 --dport 10011 -j ACCEPT
  49. iptables -I INPUT -p tcp -s 208.167.241.186 --dport 10011 -j ACCEPT
  50. iptables -I INPUT -p tcp -s 108.61.78.147 --dport 10011 -j ACCEPT
  51. iptables -I INPUT -p tcp -s 108.61.78.148 --dport 10011 -j ACCEPT
  52. iptables -I INPUT -p tcp -s 108.61.78.149 --dport 10011 -j ACCEPT
  53. iptables -I INPUT -p tcp -s 108.61.78.150 --dport 10011 -j ACCEPT
  54.  
  55.  
  56.  
  57. #Открываем порты для SSH
  58. iptables -I INPUT -p tcp -s 188.187.188.165 --dport 22 -j ACCEPT
  59. iptables -I INPUT -p tcp -s 188.187.188.165 --sport 22 -j ACCEPT
  60.  
  61.  
  62. #Открываем порты для Sinusbot
  63. iptables -I INPUT -p tcp --dport 8087 -j ACCEPT
  64. iptables -I INPUT -p udp --dport 8087 -j ACCEPT
  65.  
  66.  
  67. #Блокировка порта Query
  68. iptables -A INPUT -p tcp --dport 10011 -j DROP
  69. iptables -A INPUT -p udp --sport 10011 -j DROP
  70.  
  71. #Блокировка порта 80
  72. iptables -A INPUT -p tcp --dport 80 -j DROP
  73. iptables -A INPUT -p udp --sport 80 -j DROP
  74.  
  75. #Открываем порты для teamspeak
  76. #порт для подключения 9987
  77. iptables -I INPUT -p udp --dport 9987 -j ACCEPT
  78. iptables -I INPUT -p udp --sport 9987 -j ACCEPT
  79.  
  80. #порт для Weblist 2010
  81. iptables -I INPUT -p udp --dport 2010 -j ACCEPT
  82. iptables -I INPUT -p udp --sport 2010 -j ACCEPT
  83.  
  84. #порт для проверки License 2008
  85. iptables -I INPUT -p tcp --dport 2008 -j ACCEPT
  86. iptables -I INPUT -p tcp --sport 2008 -j ACCEPT
  87.  
  88. #DNS port
  89. iptables -I INPUT -p tcp --dport 41144 -j ACCEPT
  90. iptables -I INPUT -p tcp --sport 41144 -j ACCEPT
  91.  
  92. #DNS port
  93. iptables -I INPUT -p tcp --dport 53 -j ACCEPT
  94. iptables -I INPUT -p tcp --sport 53 -j ACCEPT
  95.  
  96. #CrashFix 3.0.13 http://www.mpcforum.pl/topic/1568622-crashfix-%C5%82atka-3013/#entry13243822
  97. iptables -N Exploit_3_0_13
  98. iptables -A INPUT -p udp -m udp --match length --length 300:350 -j Exploit_3_0_13
  99. iptables -A Exploit_3_0_13 -m limit --limit 200/min -j LOG --log-prefix "Detect - Exploit_3.0.13: " --log-level 4
  100. iptables -A Exploit_3_0_13 -j DROP
  101.  
  102. #CrashFix 3.0.13 http://r4p3.net/threads/hotfix-for-teamspeak-vulnerabilities-till-3-0-13.2872/
  103. -A INPUT -p udp -m udp -j DROP --match length --length 300:350
  104.  
  105.  
  106. #Защита TS3Fuck'a / TS3Dropera
  107. /sbin/iptables -A INPUT -s 31.14.135.45 -j DROP
  108. /sbin/iptables -A INPUT -s 5.249.159.251 -j DROP
  109. /sbin/iptables -N ts3droper
  110. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|545333494e|' -m limit --limit 250/s --limit-burst 250 -j ACCEPT
  111. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|545333494e|' -j ts3droper
  112. /sbin/iptables -A ts3droper -m limit --limit 100/min -j LOG --log-prefix "TS3droper: " --log-level 4
  113. /sbin/iptables -A ts3droper -j DROP
  114.  
  115. iptables -A INPUT -s 31.14.135.45 -j DROP
  116. iptables -A INPUT -s 5.249.159.251 -j DROP
  117. iptables -N ts3droper
  118. iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|545333494e|' -m limit --limit 250/s --limit-burst 250 -j ACCEPT
  119. iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|545333494e|' -j ts3droper
  120. iptables -A ts3droper -m limit --limit 100/min -j LOG --log-prefix "TS3droper: ""SYN flood: "
  121. /sbin/iptables -A syn-flood -j DROP
  122. /sbin/iptables -A INPUT -s 31.14.135.45 -j DROP
  123. /sbin/iptables -A INPUT -s 5.249.159.251 -j DROP
  124. /sbin/iptables -N ts3droper
  125. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|545333494e|' -m limit --limit 250/s --limit-burst 250 -j ACCEPT
  126. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|545333494e|' -j ts3droper
  127. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ab41ce52ce69|' -m limit --limit 250 --limit-burst 250 -j ACCEPT
  128. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|ab41ce52ce69|' -j ts3droper
  129. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|0df0aa8f61b9|' -m limit --limit 250 --limit-burst 250 -j ACCEPT
  130. /sbin/iptables -A INPUT -p udp -m udp -m string --algo bm --hex-string '|0df0aa8f61b9|' -j ts3droper
  131. /sbin/iptables -A ts3droper -m limit --limit 100/min -j LOG --log-prefix "TS3droper: " --log-level 4
  132. /sbin/iptables -A ts3droper -j DROP
  133.  
  134.  
  135. #Блокировка порта 30033 с задержкой
  136. iptables -A INPUT -p tcp --dport 30033 -m limit --limit 2/sec --limit-burst 20 -j ACCEPT
  137. iptables -A INPUT -p tcp --dport 30033 -m limit --limit 2/sec --limit-burst 20 -j LOG --log-prefix "TCP-FLOOD:"
  138. iptables -A INPUT -p tcp --dport 30033 -j DROP
  139.  
  140.  
  141. #Закрываем доступ спамерам румынам, туркам
  142. iptables -A INPUT -m iprange --src-range 176.33.184.0-176.33.191.255 -j DROP
  143. iptables -A INPUT -m iprange --src-range 78.184.0.0-78.184.255.255 -j DROP
  144. iptables -A INPUT -m iprange --src-range 86.121.156.0-86.121.156.255 -j DROP
  145. iptables -A INPUT -m iprange --src-range 213.233.92.0-213.233.92.255 -j DROP
  146. iptables -A INPUT -m iprange --src-range 213.233.88.0-213.233.88.255 -j DROP
  147. iptables -A INPUT -m iprange --src-range 87.117.231.0-87.117.231.255 -j DROP
  148. iptables -A INPUT -m iprange --src-range 81.213.220.0-81.213.223.255 -j DROP
  149. iptables -A INPUT -m iprange --src-range 78.96.228.0-78.96.231.255 -j DROP
  150. iptables -A INPUT -m iprange --src-range 95.76.0.0-95.76.3.255 -j DROP
  151. iptables -A INPUT -m iprange --src-range 78.176.0.0-78.176.255.255 -j DROP
  152.  
  153. #Белый список IP Адресов
  154. iptables -A INPUT -s 127.0.0.1 -j ACCEPT
  155. iptables -A INPUT -s 92.63.203.00 -j ACCEPT
  156.  
  157. echo "Firewal: KOHELL YCIIEWHO"

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: iptables
« Ответ #7 : 29 Ноябрь 2017, 22:01:39 »
Хе... Я даже ковыряться не хочу.
1. х.з. что Вы там затеяли, чтобы делать утверждение что есть ошибка, а что есть фича
2. такой объём копать - мне что? заняться что-ли нечем?
3. Вы даже на наш простой вопрос не хотите отвечать, зато сами засыпаете листингами в пару машинописных листов формата А4
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.551 секунд. Запросов: 24.