Skocz do zawartości

[Poradnik] Blokada "krajów" w IPTables (Ubuntu 18.04)


Gość
 Udostępnij

Rekomendowane odpowiedzi

Cześć dzisiaj wlatuje szybki poradniczek do IPTables.

  • Do czego to się może przydać?
  1. - Blokada VPNów (Nadal istnieje spoofing)
  2. - Blokada "Ataków" (Nadal to jest iptables więc nie bierzmy tego na serio xD)
  3. - I inne przydatne zastosowania.

 

a) Instalacja na systemie Ubuntu 18.04

Treść ukryta

    install iptables
    apt-get install xtables-addons-common 
    /usr/lib/xtables-addons/xt_geoip_dl 
    apt-get install aptitude 
    aptitude install libtext-csv-xs-perl
    mkdir /usr/share/xt_geoip
    /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
    iptables -m geoip --help # Tutaj tylko sprawdzenie czy wszystko działa 

b) Komendy

Treść ukryta

    Podstawowa komenda, która pozwala na dostęp tylko dla wpisanych krajów.
    W tym przykładzie mamy dostęp z Polski, Niemczech i Wielkiej Brytanii.
    Możemy dodać oczywiście więcej krajów dopisując kolejne "Kody państw" (https://www.pit.pl/intrastat/kody-panstw-intrastat-922638)
    
    $KOMENDA!
    
    iptables -I INPUT -m geoip ! --src-cc PL,DE,GB -j DROP

c) Jak to działa?

pHL0EwH.jpg

 

 

 

*Oczywiście są lepsze rozwiązania, ale jak na razie ma być najłatwiej.

Odnośnik do komentarza
Udostępnij na innych stronach

  • 4 tygodnie później...
  • 1 rok później...

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

 Udostępnij

  • Podobna zawartość

    • Przez vData
      🔥 Zachęcamy do kontaktu w celu nawiązania współpracy z naszą firmą!
        🧰 Zaufaj nam, dostawcom usług hostingowych. Dostarczamy moc obliczeniową pod Wasze projekty.
      🎈 Dzięki takim rozwiązaniom umożliwiasz nam przetestowanie infrastruktury zdobywając doświadczenie na Twoim projekcie.
          💼 Kontakt www.facebook.com/vdatapl 💼 Strona Główna vdata.pl
         
       
       
       
    • Przez vData
      Strona Główna - vData.pl
      Panel Klienta - dash.vdata.pl
       
      Rodzaje płatności PayPal, Paysafecard, Przelew i BLIK
       
      W celu wygenerowania faktury VAT dla przedsiębiorców przygotowaliśmy możliwość ustawienia danych firmowych w profilu konta, podstawowo fakturę otrzymują także osoby fizyczne.
      Faktura VAT jest oryginalnym dowodem zakupu.
       

    • Przez VPSnet
      VPSnet.com
      MATERIAŁY BEZPIECZNE, NIEZAWODNE I DOSTĘPNE
      VPS SOLUTIONS HOSTING
       
       

      VPSnet.com - oferuje niezawodne i niedrogie serwery oraz specjalizuje się w obsłudze.
      Centrum danych od 2007 roku.
      Wybierając usługi VPSnet, klienci obniżają koszty i oszczędzają czas.

      VPSnet.com uruchamia wynajem wysokiej jakości serwerów
      VPS w najniższych cenach.
       
      Koszt serwera VPS wynosi od 2,25 USD



      Sieć informacyjna
      Wilno, Litwa
      Test IPv4: 91.211.244.3
      Test IPv6: 2a05:7cc0::3
    • Przez VendeN
      Witam, w dzisiejszym poradniku chciałbym przedstawić jak zmienić port ssh. ( Ja używałem systemu Debian 8 ).
      Co on daje? Zwiększa bezpieczeństwo, utrudnia wejście na vps osobom trzecim.
       
      1. Krok Zalogujmy się do SSH. ( Programem Putty )
       
      2. Krok wpiszmy komendę która zrobi kopię zapasową pliku. ( W razie problemów ).
      cp /etc/ssh/sshd_config /etc/ssh/kopiazapasowa
      3. Krok zainstalujmy linuxowy edytor tekstu. ( nano )
      apt-get install nano
      4. Krok edytujmy plik sshd_config programem nano.
      nano /etc/ssh/sshd_config

      5. Krok zmieniamy port ( z domyślnego 22 ). Na dowolny, następnie zapisujemy ( CTRL + X , Y , ENTER )
      Krok 6. Resetujemy SSH
      /etc/init.d/ssh restart
      Od tego momentu zamiast domyślnego portu 22 wpisujemy nasz własny. Inaczej się nie zalogujemy .
      Mam nadzieję że poradnik się spodobał! Jeżeli chcesz więcej daj ❤
    • Przez Incls
      Piszę ten poradnik z uwagi, iż coraz częściej pojawiają się strony serwerów Team Speak 3, a dobrze widzieć tzw "zieloną kłódeczkę" na pasku.
      Nie będę omawiał instalacji płatnego certyfikatu, oraz jak to wygląda - zapewne 99% serwerów nie planuje zakupu z uwagi, iż nie jest im to potrzebne, a taki darmowy certyfikat jest jak najbardziej spoko opcją, dla serwera startującego z własną stroną internetową jako wizytówka, czy po prostu informacyjna etc.
      Poradnik został napisany dla systemu Debian 9 - gdyby ktoś potrzebował pomocy z CentOS'em to zapraszam do komentarzy, a postaram się pomóc.
       
      Tak samo ważne - domena musi mieć rekord A, który wskazuje na nasz serwer VPS - może jest to oczywiste, jednak lepiej napisać, aby uniknąć zbędnych pytań/problemów.
      Instalacja będzie dla Apache'a. W pprzypadku Nginx'a wystarczy zmienić tak naprawdę:
       
      python-certbot-apache
      na
      python-certbot-nginx
       
       
      Pierwsze czynności:
      Profilaktycznie aktualizacja wygląda następująco:
       
      apt-get -y  update && apt-get -y upgrade Opcjonalnie możemy wykonać jeszcze następujące polecenie, jednak to w przypadku, gdy jedyny update jaki został wykonany, to podczas instalacji naszego serwera 🙂  dla przeciętnego użytkownika niekonieczne.
      apt-get dist-upgrade
      Po wykonaniu powyższych poleceń możemy przystąpić do właściwej instalacji.
      Z konta ROOT instalujemy pakiet oparty o python'a (2.x).
      apt-get install python-certbot-apache -t stretch-backports Po zakończeniu instalacji wystarczy wpisać:
      certbot --apache
      Carbot powinien sprawdzić waszą konfigurację Apache, gdzie znajdzie Waszą domene, dlatego przypominam o konfiguraci, aby było tam zawarte:
          ServerName domena.pl     ServerAlias www.domena.pl
          
      Oraz oczywiście o przeładowaniu serwera www, ale przed  nim wykonamy profilaktyczny test konfiguracji, czy wszystko działa dobrze (aby potem nie bawić się w edytowanie):
      apache2ctl configtest Powinniśmy uzyskać komunikat "Syntax OK". Gdy nam się pojawi - możemy zrestartować serwer:
      systemctl restart apache2 service apache2 restart /etc/init.d/apache2 restart Oczywiście tylko jedno polecenie 🙂
      Jeśli ktoś korzysta z CentOS'a i ma problem z restartem:
      7.x: systemctl restart httpd.service
      4/5/6.x: service httpd restart
       
      Cała instalacja nie jest jakoś skomplikowana. Dodatkowo istnieje możliwość automatycznego odnowienia certyfikatu.
      Polecenie wygląda następująco:
       
      certbot renew --dry-run  
      W przypadku, gdy posiadamy wiele domen, bądź subdomen, a nie dla wszystkich działa to polecenie (nie wszystkie są odnawiane) - możemy skorzystać z Cron'a, który będzie nam odnawiał takowy certyfikat.
      Najlepiej ustawić go co 30 dni, choć nic nie stoi na przeszkodzie, aby uruchamiał się co tydzień/dwa, albo i co konkretny dzień.
       
       
      Polecenie, aby edytować nasze zadania:
      crontab -e  
      Jeśli wyskoczy nam zapytanie edytor:
       
       
      Zalecam dla początkujących opcję numer jeden. VIM jest super, jednak nie będziemy omawiać tutaj klawiszologii.
       
      Polecenie jakie ma być wykonywane jest poniżej.
       
      30 3 * * 1 /usr/bin/certbot renew >> /var/log/cert-renew.log - wykonuje się w poniedziałek o godzine 3:30 30 3 * * 2 /usr/bin/certbot renew >> /var/log/cert-renew.log - wykonuje się we wtorek o godzinie 3:30 30 3 * * 0 /usr/bin/certbot renew >> /var/log/cert-renew.log - wykonuje się w każdą niedzielę o godzinie 3:30  
      Oczywiście chodzi o wybranie sobie jednej reguły 🙂  dla Waszej pewności zamieszczam zrzut ekranu jak to powinno wyglądać. Log będzie znajdował się w lokalizacji /var/log o nazwie "cert-renew.log"
       

       
       
      W przypadku wątpliwości możemy jeszcze zweryfikować nasz certyfikat:
       
      openssl s_client -connect domena.pl:443 -servername domena.pl  
      Verification: OK/0 traktowane jest jako pomyślny test.
       
      Tak samo dla osób chętnych sprawdzić datę wygaśnięcia naszego certyfikatu możemy to w bardzo prosty sposób wykonać:
      echo | openssl s_client -connect domena.pl:443 -servername domena.pl 2>/dev/null | openssl x509 -noout -dates  
      Możemy przekierować oczywiście wedle uznania output do pliku jeśli ktoś chciałby sobie go zatrzymać (np aby zapamiętać datę wygaśnięcia):
      echo |openssl s_client -connect tsowicze.pl:443 -servername tsowicze.pl 2>/dev/null | openssl x509 -noout -dates > /var/log/cert_time.log Wtedy odczytujemy go najprościej:
      cat /var/log/cert_time.log
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...

🍪 Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.