https://www.opennet.dev/openforum/vsluhforumID3/130129.html Общий набор правил для nftables с реализацией техники "port knoсking", позволяющей организовать временное открытие сетевого порта к SSH только после предварительной попытки соединения к определённой последовательности портов (порты задаются в параметрах "define ssh_port_knock_[1234]").<br><br><br> #!/usr/bin/env -S bash -c 'nft -cof "${0}" && nft -f "${0}"'<br><br> flush ruleset<br><br> table inet filter {<br><br> define sshd_port = 2299;<br><br> set ssh_bad_ipv4_set {<br> type ipv4_addr;<br> flags dynamic;<br> timeout 15m;<br> }<br><br> set ssh_bad_ipv6_set {<br> type ipv6_addr;<br> flags dynamic;<br> timeout 15m;<br> }<br><br> set ssh_clients_ipv4_set {<br> type ipv4_addr;<br> flags dynamic;<br> timeout 3s;<br> }<br><br> set ssh_clients_ipv6_set {<br> type ipv6_addr;<br> flags dynamic;<br> timeout 3s;<br> }<br><br> set ssh_clients_candidates_ipv4_set {<br> type ipv4_addr . inet_service;<br> flags dynamic;<br> timeout 1s;<br> }<br><br> set ssh_clients_candidates_ipv6_set {<br> type ipv6 https://www.opennet.dev/openforum/vsluhforumID3/130129.html#38 Tue, 01 Aug 2023 17:29:43 GMT Ага, чтобы успешный вход злоумышленника вообще не был залогирован?<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#37 Fri, 28 Jul 2023 12:50:06 GMT Вспоминаем про RateLimit логов.<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#36 Fri, 28 Jul 2023 12:00:35 GMT 4 гига логов по сравнению с 20 мегабайт. Если места хватает, то не страшно, но на небольших машинках имеет вполне смысл<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#35 Fri, 21 Jul 2023 18:08:48 GMT Коллеги, прошу прощения если я чего-то "матёро недогоняю", но вот реально, эта "простыня" правда сильно "православнее" 6-ти строчек в iptables?<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#34 Mon, 10 Jul 2023 14:29:57 GMT nftables - фаервол курильщика<br>iptables + ipset - фаервол здорового человека<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#33 Thu, 06 Jul 2023 14:04:38 GMT Вот это и будет как раз именно тот самый день. Когда сильно пожалеешь о усложнении добавлением +1 сервиса веб-сервера и процессов разбора логов. Память там, лимиты на число файлов/соединений, прочие сложности упрощающего решения через добавление сложных процессов.<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#32 Wed, 05 Jul 2023 18:19:59 GMT Логи засираются.<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#31 Mon, 26 Jun 2023 14:01:57 GMT Такая простыня... проще надо быть.<br><br>iptables -A INPUT -p tcp -m tcp --dport 1111 -m recent --set --name SSH0 --mask 255.255.255.255 --rsource -m comment --comment "knock-knock port for SSH" -j DROP<br>iptables -A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 60 --name SSH0 --mask 255.255.255.255 --rsource -m comment --comment "60 seconds for SSH connect" -j ACCEPT<br> https://www.opennet.dev/openforum/vsluhforumID3/130129.html#30 Fri, 16 Jun 2023 19:49:55 GMT Сложно очень. Я бы примерно так действовал для последовательности 1111, 2222, 3333, 4444.<br><br># Закрыть доступ к SSH<br>nft add rule filter input tcp dport 22 ct state new reject<br><br># Определить последовательность портов для порт-нокинга<br>nft add chain filter port_knocking { type filter hook prerouting priority 0 \; }<br>nft add rule filter port_knocking tcp dport 1111 tcp flags syn counter accept<br>nft add rule filter port_knocking tcp dport 2222 tcp flags syn recent set policy timeout seconds 15 name "knock2" counter accept<br>nft add rule filter port_knocking tcp dport 3333 tcp flags syn recent set policy timeout seconds 15 name "knock3" counter accept<br>nft add rule filter port_knocking tcp dport 4444 tcp flags syn recent set policy timeout seconds 15 name "knock4" counter accept<br><br># Добавить временное правило на открытие доступа к SSH<br>nft add rule filter input tcp dport 22 ct state new ip saddr &lt;клиент&gt; recent check seconds 15 name "knock4" counter accept<br><br># Установить таймер на закрытие доступа к SSH<br>nft ad