Плз подскажите, что выбрать для файлового сервера по протоколу HTTP с помощью веб-серверов Apache или Nginx.
Желательно доступ по паролю, только скачивание.
Что посоветуете, чтобы администрировалось легко и ресурсы особо не кушало?
дипсик дал несколько советов, совет с f2b реален?
1. Использование Fail2Ban с подсетями
Fail2Ban можно настроить для блокировки целых подсетей при обнаружении атаки.
Пример настройки:
ini
# /etc/fail2ban/jail.d/ddos.conf
[ddos]
enabled = true
filter = ddos
logpath = /var/log/nginx/access.log # или ваш лог
maxretry = 50 # кол-во запросов до блокировки
findtime = 60 # секунд
bantime = 3600 # время блокировки
banaction = iptables-subnet # специальное действие
Действие для подсетей (/etc/fail2ban/action.d/iptables-subnet.conf):
ini
[Definition]
actionban = iptables -I INPUT -s <ip>/24 -j DROP
actionunban = iptables -D INPUT -s <ip>/24 -j DROP
смотрим последнюю запись в таблице.
root@ftpserver:~# iptables -t raw -A PREROUTING -s 45.142.215.0/24 -j DROP
root@ftpserver:~# iptables -t raw -L PREROUTING --line-numbers
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 207.171.0.0/16 anywhere
2 DROP all -- 180.150.0.0/16 anywhere
3 DROP all -- 147.185.0.0/16 anywhere
4 DROP all -- 185.239.70.0.16clouds.com/23 anywhere
5 DROP all -- 45.62.0.0/16 anywhere
6 DROP all -- r0.it7.net/16 anywhere
7 DROP all -- 171.204.0.0/15 anywhere
8 DROP all -- 171.192.0.0/13 anywhere
9 DROP all -- 171.200.0.0/14 anywhere
10 DROP all -- 171.128.0.0/10 anywhere
11 DROP all -- 171.206.0.0/16 anywhere
12 DROP all -- 62.204.41.0/24 anywhere
13 DROP all -- 103.41.0.0/16 anywhere
14 DROP all -- cg-in-f0.1e100.net/16 anywhere
15 DROP all -- cj-in-f0.1e100.net/16 anywhere
16 DROP all -- 74.208.0.0/16 anywhere
17 DROP all -- ebuuv1re2tg.expanse.co/24 anywhere
18 DROP all -- 64.62.0.0/16 anywhere
19 DROP all -- 66.132.0.0/16 anywhere
20 DROP all -- 64.227.0.0/16 anywhere
21 DROP all -- 164.92.0.0/16 anywhere
22 DROP all -- 92.1.0.0/16 anywhere
23 DROP all -- unused-space.coop.net/22 anywhere
24 DROP all -- 196.245.0.0/18 anywhere
25 DROP all -- 160.223.160.0/20 anywhere
26 DROP all -- 173.239.192.0/18 anywhere
27 DROP all -- ./24 anywhere
root@ftpserver:~#
это косяк или как? в чем прикол?
Уважаемые!
Может кто в теме, плз, помогите с настройками флексисип и фрипбх. флекс в режиме прокси с пуш сервисом. Может у кого есть ссылки на реальные примеры?
Вышел релиз freepbx17 на дебиан 12.
https://github.com/FreePBX/sng_freepbx_debian_install
прошлые версии перестают поддерживать.
может кто-то уже попробовал? впечатление, глюки и тд.?
Ubuntu Linux 22.04.5 + proftpd + fail2ban
Прикол с портами в конфиге jail.local.
Несколько месяцев не трогал фильтры f2b, систему апгрейдил, тут что-то приспичило)))
Меняю Max delay between matches и сохраняю, Ports to block ftp,ftp-data,ftps,ftps-data не трогал.
Получаю Failed to save jail : Invalid port name, number or range; use a single port name, number or a range in the form start:end; to specify multiple ports, separate them with commas
Вот с этим ftp-data,ftps-data не едет.
f2b стартует в конфигурации Ports to block ftp,20
Может кто сталкивался с таким приколом?
Уважаемые!
Плз подскажите, допускает ли синтаксис iptables заменять в адресе ip цифры на символ-агрегатор, например:
192.168.22.11
192.168.23.11
192.168.100.11
можно ли описать это как-то так 192.168.*.11 или как-то иначе?
допустима ли такая маска 255.255.0.255 ?
Уважаемые!
Плз подскажите, где можно доходчиво прочитать по синтаксису и настройкам fail2ban failregex?
что-то лыжи не едут))) задача усложнилась. есть аж 2 строки
2024/10/11 21:20:13 DEB [RTSP] [conn 91.193.177.93:21564] [s->c] RTSP/1.0 401 Unauthorized
CSeq: 2
сделал так
^.* DEB \[RTSP\] \[conn <HOST>:\d+\] \[s->c\] RTSP\/1\.0 401 Unauthorized\nCSeq: 2$
эмулятор находит, а f2b не находит, а без \nCSeq: 2 находит, но это нужный признак. Есть мысли?
Уважаемые!
Видимо, 22 порт самый востребованный для взлома.
Поставил в дроп row сеть, вижу по tcpdump, что пакеты от забаненной сети идут.
Как посмотреть где в системе эти пакеты дропаются?
Плз подскажите, примерно сколько максимально дропов может обрабатываться в секунду?
Чтобы это совсем не попадало на сервер, надо перед серваком ставить файрвол?
Уважаемые!
сейчас вношу сети в бан в мангл прерутинг.
плз подскажите, может есть еще более простые способы?
Вышел шибко косячный апгрейд Webmin 2.200))))
Не устанавливайте, ждите исправления)))
Приветствую, Уважаемые!
Конфигурация вебмин и proftpd на стандартных портах.
Возник вопрос, как правильно в инпут прописать разрешения для lo,
чтобы вебмин и его терминал работали, и lo не
задваивал обращения к proftpd.
Что посоветуете?
Сейчас работает такое и в таком прорядке:
# Generated by iptables-save v1.8.7 on Mon Jul 1 19:01:05 2024
*mangle
:PREROUTING ACCEPT [2988:648365]
:INPUT ACCEPT [2957:645796]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1993:679002]
:POSTROUTING ACCEPT [1993:679002]
COMMIT
# Completed on Mon Jul 1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul 1 19:01:05 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1981:678570]
:f2b-proftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-proftpd
-A INPUT -i lo -p tcp -m tcp ! --dport 21 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49200:54000 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A OUTPUT -p icmp -j DROP
-A f2b-proftpd -s 59.46.124.38/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 58.226.181.97/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 40.71.29.110/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 35.205.205.158/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 211.149.132.198/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 194.71.217.74/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 177.54.147.173/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 119.28.71.111/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 104.199.31.214/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 103.6.223.149/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -j RETURN
COMMIT
# Completed on Mon Jul 1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul 1 19:01:05 2024
*nat
:PREROUTING ACCEPT [950:109886]
:INPUT ACCEPT [173:8540]
:OUTPUT ACCEPT [17:1344]
:POSTROUTING ACCEPT [17:1344]
COMMIT
# Completed on Mon Jul 1 19:01:05 2024
Здравствуйте, Уважаемые!
Плз, подскажите, как настроить webmin, что бы он писал
инфо по аутентификации в файл /var/log/auth.log?
Уважаемые!
Нужна помощь, для убунты есть такая приблуда nat-rtsp-dkms
Может кто сталкивался, как это настроить, как это работает, есть ли мануал или примеры?
Приветствую, Уважаемые!
Я начинаю только, плз, яйцами не кидать))) У самого что-то не получается.
Нужно: Чтобы кто угодно набрал rtsp://user:pass@216.120.11.37:10500 и получил видео. Vps ubuntu+wireguard server 216.120.11.37, wg порт 41321, порт на который нужно пробросить ртсп камеру 10500. Адрес камеры на wg клиенте 192.168.5.10 порт 554. iptables умучал уже. С сервера через wg камера пингуется.
PostUp = iptables -I INPUT -p udp –dport 41321 -j ACCEPT
PostUp = iptables -I FORWARD -i ens18 -o wg0 -j ACCEPT
PostUp = iptables -t nat -A PREROUTING -p tcp -d 216.120.11.37 – dport 10500 -j DNAT –to-destination 192.168.5.10:554
#PostUp = iptables -I FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -p tcp -d 192.168.5.10 -j SNAT –to-source 216.120.11.37:10500
PostUp = iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE
PostDown = iptables -D INPUT -p udp –dport 41321 -j ACCEPT
PostDown = iptables -D FORWARD -i ens18 -o wg0 -j ACCEPT
PostDown = iptables -t nat -A PREROUTING -p tcp -d 216.120.11.37 –dport 10500 -j DNAT –to-destination 192.168.5.10:554
#PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -p tcp -d 192.168.5.10 -j SNAT –to-source 216.120.11.37:10500
PostDown = iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE
Уже неделю долблюсь об iptables))) Плз, помогите поправить!!!