МВ
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp —dport 22 -j ACCEPT
-A INPUT -j DROP
Size: a a a
2021 March 29
f
Нужно разрешить SSH снаружи? Лучше бы тоже не в весь мир
Почему не на весь мир? У меня пока протип
f
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp —dport 22 -j ACCEPT
-A INPUT -j DROP
А, ну да, можно и так, я просто сейчас увидел ! в iptables
f
Сейчас попробую
МВ
Почему не на весь мир? У меня пока протип
Боты сходу подбирать начнут пароль, если IP белый
f
Боты сходу подбирать начнут пароль, если IP белый
да брут не страшен, у меня только по ключу вход
МВ
Я предпочитаю белые списки создавать для SSH
f
я просто не мастер сетей, но знаю, что есть флуд
f
Я предпочитаю белые списки создавать для SSH
Что за белые списки?
МВ
ipset
МВ
с помощью ipset создаёшь список, с которого разрешён вход, а потом пишешь правило
f
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp —dport 22 -j ACCEPT
-A INPUT -j DROP
ого, всё работате, спасибо) Не знаю, почему у меня не получалсоь, я указывал не интерфейс а -s localhost
f
сейчас погляжу, что за ipset
МВ
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp —dport 22 -m set --matsh-set ACCESS src -j ACCEPT
-A INPUT -j DROP
МВ
ipset -N ACCESS nethash
ipset -A ACCESS 10.0.0.0/8
ipset -A ACCESS 213.1.2.0/24
ipset -A ACCESS 172.16.0.0/12
МВ
А чтобы хост ещё и сам мог в инет лезть, надо так:
f
OUTPUT ACCEPT?
МВ
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate established,related -j ACCEPT
-A INPUT -p tcp —dport 22 -j ACCEPT
-A INPUT -j DROP
f
а можешь мне подсказать смотри что
f
что из себя представляется
iptables-persistent (знаю только лишь то, что с даёт мне /etc/iptables/rules.v* файлики)
И могу ли я напрямую писать в файл без утилиты iptables? (А её использовать как валидатор через iptables-restore ?
iptables-persistent (знаю только лишь то, что с даёт мне /etc/iptables/rules.v* файлики)
И могу ли я напрямую писать в файл без утилиты iptables? (А её использовать как валидатор через iptables-restore ?