https://www.opennet.ru/openforum/vsluhforumID3/11868.html Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд:<br><br> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set<br><br> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \<br> --update --seconds 60 --hitcount 4 -j DROP<br><br><br>URL: http://www.debian-administration.org/articles/187<br>Обсуждается: http://www.opennet.ru/tips/info/874.shtml<br> https://www.opennet.ru/openforum/vsluhforumID3/11868.html#5 Wed, 27 Jan 2010 13:10:20 GMT Защищаем SSH при помощи технологии "Port Knocking"[исправить]<br>Реализация идеи динамического открытия доступа к 22 порту, при предварительном<br>обращении telnet-ом на определенный сетевой порт (в примере 333 - открыть<br>доступ и 334 - закрыть). Идея реализована средствами iptables, без привлечения<br>дополнительных утилит и анализаторов логов.<br><br> # Создаю цепочку с именем SSH<br> iptables -N SSH<br> # Правило по умолчанию в INPUT - DROP<br> iptables -P INPUT DROP <br> # Всё что пришло на 22 порт - в цепочку SSH<br> iptables -A INPUT -p tcp --dport 22 -j SSH <br> # Всё что пришло на 333 порт - в цепочку SSH<br> iptables -A INPUT -p tcp --dport 333 -j SSH <br> # Всё что пришло на 334 порт - в цепочку SSH<br> iptables -A INPUT -p tcp --dport 334 -j SSH <br><br>Разделения на цепочки сделано для своего удобства, от этого можно и отказаться. <br><br>Теперь заполняем цепочку SSH.<br><br> # Проверяем на наличие имени "SSH" у IP адреса устанавливающего соединение на 22 порт. <br> # И если оно присутствует - то ACCEPT<br> iptabl https://www.opennet.ru/openforum/vsluhforumID3/11868.html#4 Tue, 29 Jul 2008 16:01:23 GMT &gt; а можна пример (всмысле скрипт) ??? <br><br>http://silverghost.org.ua/2007/06/13/ssh-portknocking/ :<br>$IP=&#8217;/sbin/iptables&#8217;<br>$EXTIP=&lt;Your external IP&gt;<br><br>$IPT -A INPUT -d $EXTIP -p tcp &#8211;dport 1500 -j LOG<br>$IPT -A INPUT -d $EXTIP -m state &#8211;state NEW -m tcp -p tcp &#8211;dport 22 -m recent &#8211;rcheck &#8211;name SSH -j ACCEPT<br>$IPT -A INPUT -d $EXTIP -m state &#8211;state NEW -m tcp -p tcp &#8211;dport 1499 -m recent &#8211;name SSH &#8211;remove -j DROP<br>$IPT -A INPUT -d $EXTIP -m state &#8211;state NEW -m tcp -p tcp &#8211;dport 1500 -m recent &#8211;name SSH &#8211;set -j DROP<br>$IPT -A INPUT -d $EXTIP -m state &#8211;state NEW -m tcp -p tcp &#8211;dport 1501 -m recent &#8211;name SSH &#8211;remove -j DROP<br>$IPT -A INPUT -d $EXTIP -p tcp &#8211;dport 22 -j DROP<br><br>Немного не в две строки. ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/11868.html#3 Mon, 28 Jul 2008 18:15:52 GMT Не могу найти пример, который видел буквально вчера и чуть ли не на опеннете. :-/<br>А пока посмотри сюда: http://www.opennet.ru/openforum/vsluhforumID3/41732.html#32<br><br>А то, что я потерял, содержало строчку для открытия нужного порта по стуку в другой и строку для закрытия соединений на второй по стуку в третий порт.<br><br>:-/<br> https://www.opennet.ru/openforum/vsluhforumID3/11868.html#2 Thu, 28 Jul 2005 10:20:18 GMT а можна пример (всмысле скрипт) ???<br> https://www.opennet.ru/openforum/vsluhforumID3/11868.html#1 Fri, 22 Jul 2005 11:47:27 GMT А ещё ipt_recent-ом удобно ловушки для сканеров делать -- временно блокировать ip-адреса, с которых пытаются ломиться на некоторые порты