Сегодня немного о том, что делать, если с сервера идёт атака на сторонние сайты. Вот так можно быстро найти того, чьи скрипты генерируют исходящую с сервера атаку на админ-панели Wordpress:

# iptables -I OUTPUT -p tcp -m tcp -m string --string "wp-login.php" --algo kmp --dport 80 -j LOG --log-prefix "Outgoing attack: " --log-level 4 --log-uid

Разумеется, вместо wp-login.php можно отлавливать любое другое вхождение. Подробнее об этом в очередной заметке.

#будничное #iptables

Когда MASQUERADE на сервере настроить нельзя (например такое бывает на OpenVZ виртуалках), для работы OpenVPN можно использовать SNAT. Вот так:

# iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to-source 1.2.3.4

Или уточнив источник:

# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 1.2.3.4

#iptables #openvpn

Простая разница в iptables:

DROP - просто закрывает соединение и ничего не отправляет в ответ.
REJECT - сбрасывает соединение и отправляет в ответ сообщение вида host is unreachable.

В случае атаки, когда запросов на сервер идёт очень много, лучше использовать DROP, что бы не отвечать на каждый из них.

#будничное #iptables

Обнаружилась очень удобная утилита для работы с подсетями и IP адресами:

https://github.com/firehol/iprange/

Умеет вычислять нужные подсети из разных диапазонов, что порой бывает необходимо, например, при работе с ipset и фаерволом на сервере.

В wiki проекта, в разделе Reducing ipsets, есть примеры оптимального вычисления нужных подсетей:

https://github.com/firehol/iprange/wiki#reducing-ipsets

#ipset #iprange #iptables

А ещё, небольшая заметка о том, как можно быстро заблокировать доступ пользовтелей из TOR на сервер. Не являюсь сторонником таких блокировок, но иногда ограничить доступ оттуда бывает полезно.

📗 https://sysadmin.pm/block-tor-iptables-csf/

#iptables #ipset #csf

🗜 Using iptables-nft: a hybrid Linux firewall. Для ситуаций, когда хочется от iptables-legacy уйти постепенно. И вот тут ещё немного простых примеров.

А я в своё время в блоге разбирался с nftables в этой заметке.

#nftables #iptables #напочитать

⚙️ Network address translation part 1 – packet tracing - занятное чтиво о том, как можно исследовать проблемы с NAT с помощью трейсинга в iptables/nftables. А с учётом того, что запланирована серия статей, это должно быть весьма интересно. #напочитать #iptables #nftables

Интересный подход к управлению фаерволами на большом количестве серверов: https://relaypro-open.github.io/dog/

#iptables #firewall

📎 Визуализация цепочек iptables на сервере: https://github.com/Nudin/iptable_vis Удобно для ситуаций, когда нужно наглядно показать последовательность обработки правил. #iptables #фидбечат #будничное

🛠 Netfilter (nftables & iptables) firewall, with port knocking and multi-routing system - немножечко практик для iptables\nftables. #iptables #nftables #firewall

🛠 iptables-tracer - штуковина, с помощью которой можно посмотреть, проходит ли трафик через нужные нам цепочки iptables. Посмотрел и воспользовался сам, коротко описал в заметке:

📗 https://sysadmin.pm/iptables-tracer/

#iptables #trace #будничное