Anonymous : |
barbosa : | צפריר : | הפלט של iptables -L די מבלבל. אני ממליץ על iptables-save כדרך להצגת רשימת החוקים הנוכחית. |
אכן, הדברים נראים אחרת עם iptables-save.
אשמח בכל זאת לשמוע את דעתכם האם ההגדרות נראות תקינות (טרם נכנסתי להגדרות של fail2ban עצמו).
קוד: | # Generated by iptables-save v1.4.21 on Tue Mar 22 14:10:16 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Mar 22 14:10:16 2016 |
|
לא עדיף להתחיל מ /BAN ALL ולאשר דברים ספציפים ? |
ייתכן. ממה שקראתי, יש שיגידו כך ויש שיגידו כך. בכל מקרה, שתי השיטות אמורות להביא לתוצאות דומות.
אני יודע שיש אולי דרכים קלים יותר לעשות זאת, אבל אני מעוניין להתמודד עם זה וללמוד את המנגנון הזה כמו שצריך. ולכן ביקשתי את עזרת הפורום, האם הדברים כפי שהם מוגדרים כרגע מאפשרים פעילות תקינה, נאותה, ובטוחה של iptables.
ואוסיף עוד שאלה ברשותכם:
האם יש טעם להשתמש ב fail2ban במידה והשירות הפעיל היחידי המוגדר הוא ssh, כאשר הכניסה היא דרך ה public keys ואפשרות הכניסה למערכת בעזרת סיסמה מבוטלת?
אודה על קבלת דעתם בעניין גם בעניין זה וגם בעניין הגדרות iptables שצירפתי.
ובתודה רבה מראש