ฉันมีการกำหนดค่า iptables นี้บน vps ซึ่งควรจะเรียกใช้ Wordpress สิ่งที่ฉันต้องการทำคือบล็อกทุกคำขอที่เข้ามายกเว้น http บนพอร์ต 80, https บนพอร์ต 443 และ ssh บนพอร์ต 22
เชนอินพุท (ยอมรับนโยบาย)
num target prot เลือกปลายทางต้นทาง
1 f2b-sshd tcp -- ทุกที่ ทุกแห่ง หลายพอร์ต dports ssh
ส่งต่อไปข้างหน้า (ยอมรับนโยบาย)
num target prot เลือกปลายทางต้นทาง
Chain OUTPUT (ยอมรับนโยบาย)
num target prot เลือกปลายทางต้นทาง
เชน f2b-sshd (อ้างอิง 1 รายการ)
num target prot เลือกปลายทางต้นทาง
1 ปฏิเสธทั้งหมด -- [retracted_ip] ได้ทุกที่ที่ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้
2 ปฏิเสธทั้งหมด -- [หดกลับ].com ได้ทุกที่ที่ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้
3 คืนทั้งหมด -- ทุกที่ ทุกแห่ง
ฉันพบคำสั่งบางอย่างทางออนไลน์ แต่สิ่งที่ฉันไม่แน่ใจก็คือว่าคำสั่งเหล่านั้นอาจขัดแย้งกับ fail2ban หรือไม่
โดยทั่วไป:
กฎไฟร์วอลล์ได้รับการประมวลผลตามลำดับที่ตั้งค่าและปรากฏขึ้น (ในเอาต์พุตของไฟล์ iptables -L -v -n --บรรทัด-ตัวเลข , iptables -L -v -n -t nat --line-numbers, iptables-บันทึก และ/หรือคำสั่งที่คล้ายกัน)
การสร้างกฎใหม่ในเครือข่ายที่ไม่ถูกต้องและ/หรือลำดับที่ไม่ถูกต้องจะส่งผลให้เกิดผลลัพธ์ที่ไม่พึงประสงค์ ทำลายฟังก์ชันการทำงาน ความปลอดภัย และ/หรือล็อกเอาต์ทราฟฟิกที่ถูกต้อง
โปรดทราบว่าการทำงานในระดับต่ำ iptables คำสั่งในการจัดการไฟร์วอลล์ของคุณอาจไม่ใช่ทางออกที่ดีที่สุดเสมอไป เท่าที่ฉันรู้ใน Ubuntu โดยใช้เครื่องมือ UFW เป็นที่ต้องการและจะทำงานได้อย่างน่าเชื่อถือร่วมกับการล้มเหลว 2 แบน
Fail2ban สร้างเครือข่ายที่กำหนดเองตั้งแต่หนึ่งรายการขึ้นไป (ที่จัดการการยกของหนักส่วนใหญ่สำหรับการบล็อกที่อยู่ IP ที่ทำงานผิดปกติ) เช่น f2b-sshd โซ่. โดยปกติคุณปล่อยให้ fail2ban จัดการรายการในห่วงโซ่เหล่านั้น
นอกจากนี้ Failed2ban ยังสร้างกฎให้กับเชนที่กำหนดเองซึ่งสร้างขึ้นใน ป้อนข้อมูล โซ่. โดยปกติกฎเหล่านั้นจะต้องมา ครั้งแรกใน ป้อนข้อมูล ห่วงโซ่ก่อนกฎอื่น ๆ ที่คุณสร้างขึ้น
ในการกำหนดค่าไฟร์วอลล์ปัจจุบันของคุณ เมื่อคุณใช้ iptables กับไฟล์ -ก เปลี่ยนไปผนวกกฎใหม่เข้ากับห่วงโซ่ INPUT ทุกอย่างควรทำงาน
การเรียกใช้คำสั่งต่อไปนี้จะเพิ่มกฎปกติเพื่อสร้างไฟร์วอลล์ที่อนุญาต ssh, http และ https และบล็อกทราฟฟิกขาเข้าอื่นๆ ทั้งหมด
iptables -A INPUT -m state --state ที่เกี่ยวข้อง ก่อตั้ง -j ACCEPT
iptables -A INPUT -i lo -j ยอมรับ
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ยอมรับ
iptables -A อินพุต -p tcp -m tcp --dport 80 -j ยอมรับ
iptables -A อินพุต -p tcp -m tcp --dport 443 -j ยอมรับ
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
