Раздел полезных советов: Пример правил nftables с реализацией port knoсking для открытия доступа к SSH,
auto_tips (ok), 01-Апр-23, (0) [смотреть все]
- chain OUTPUT -- комментарии при обработке лупбека неправильные Понятно, что к,
sabitov (ok), 08:03 , 01-Апр-23, (1) +1 //
- Ну, и если тешить паранойю, то icmpv6 лучше проверять отдельным правилом, т к о,
sabitov (ok), 08:19 , 01-Апр-23, (2) //
- Для включения port knocking нужно закомментировать правила в rate limits и р,
anonymous (??), 13:18 , 01-Апр-23, (3)
- Вообще сурово так, для такой задачи то Не проще URL knocking Курлишь секретны,
OpenEcho (?), 08:01 , 02-Апр-23, (6) +1 //
- Есть маленькая незадачка - вёбсервер к тому времени может лечь, а чтобы поднять ,
Tron is Whistling (?), 09:56 , 04-Апр-23, (10) //
- Впрочем никто не мешает сделать вместо port knocking просто u32 knocking - и пос,
Tron is Whistling (?), 09:57 , 04-Апр-23, (11)
//
- Это будет явный засвет для MITM в смысле что используется какая-то технология, ,
OpenEcho (?), 19:36 , 04-Апр-23, (13)
//
- Ну, ещё раз повторюсь - HTTPS к тому времени может лежать, и чего делать Ехать ,
Tron is Whistling (?), 09:14 , 05-Апр-23, (14) –1
- Ну и опять же - можно не засвечивать UDP бывает разный На порт 53 например отп,
Tron is Whistling (?), 09:16 , 05-Апр-23, (15)
- set trusted_ipv4_set 169 254 169 254,Зачем метадату то в трастед ,
Anonx (?), 10:06 , 02-Апр-23, (7)
- Вообще из всей этой портяны неплохо бы было выделить только собственно port knoc,
Tron is Whistling (?), 09:51 , 04-Апр-23, (8) +1
- На iptables recent или iptables ipset SET сие кстати выглядит куда читабельнее ,
Tron is Whistling (?), 09:55 , 04-Апр-23, (9) +3 //
- Ложь Это стырено с nftables manual ,
Аноним (19), 18:32 , 05-Апр-23, (18) //
- А со стороны клиента как стучаться в это нужно и чем ,
Страдивариус (?), 15:26 , 06-Апр-23, (22) //
- Не надо так мудрить с шибангом ,
pashev.ru (?), 00:06 , 09-Апр-23, (23) –1 //
- Что за шизики пишут эти статьи Для создания правила port-knocking с использов,
Hui (?), 12:02 , 15-Апр-23, (26) +6
- Никогда не понимал, зачем port knocking для SSH Там итак где-то 1 попытка в сек,
Пряник (?), 09:55 , 12-Май-23, (28) +1 //
- Логи засираются ,
Страдивариус (?), 21:19 , 05-Июл-23, (32)
- 4 гига логов по сравнению с 20 мегабайт Если места хватает, то не страшно, но н,
xen (??), 15:00 , 28-Июл-23, (36) +1 //
- Можно traceroute tracepath в студию, где ICMPv6 без искажений проходит ,
pavlinux (ok), 13:49 , 13-Июн-23, (29)
- Сложно очень Я бы примерно так действовал для последовательности 1111, 2222, 33,
Аноним (30), 22:49 , 16-Июн-23, (30) +1
- Такая простыня проще надо быть iptables -A INPUT -p tcp -m tcp --dport 1111 -,
Аноним (31), 17:01 , 26-Июн-23, (31)
- nftables - фаервол курильщикаiptables ipset - фаервол здорового человека,
Аноним (34), 17:29 , 10-Июл-23, (34) –1
- Коллеги, прошу прощения если я чего-то матёро недогоняю , но вот реально, эта ,
daWSL (?), 21:08 , 21-Июл-23, (35) +2
- port knocking это своего рода пароль но зачем есть же сертификаты,
лохпидр (?), 13:21 , 05-Авг-23, (39)
1,2,3,6,7,8,9,18,22,23,26,28,29,30,31,34,35,39
|
Вариант для распечатки
