iptables Archives • Linux 技术手札

netstat 指令 – 检查网络状况工具

Sam Tang 29 September 2017 Linux No Comments

netstat 指令可以用作检视网络连线、网卡统计、路由设定及其他关于网络的资讯，对于进行网络上的除错十分有用。除了 Linux 外，在其他主流作业系统也可以找到 netstat, 包括 Mac OSX, Solaris, BSD 及 Windows。 netstat 使用例子：列出所有连接埠： $ netstat -a 列出所有 TCP 连接埠： $ netstat -at 列出所有 UDP 连接埠： $ netstat …

[Continue Reading...]

CentOS 安装 CSF 防火墙

Sam Tang 04 September 2017 Linux No Comments

Config Server Fireall (CSF) 是 Linux 下基于 iptables 开发的防火墙套装工具, 除了基本的防火墙外, 也可以做到类似 Fail2Ban 的侦测暴力攻击的功能。以下是在 RHEL 及 CentOS 7 安装 CSF 的方法。 CSF 没有包括在默认的 Repo 内, 需要下载手动安装, 由于 CSF 是基于 Perl …

[Continue Reading...]

Fail2ban 拦截暴力入侵 WordPress

Sam Tang 28 February 2017 Linux No Comments

WordPress 是目前最受欢迎的 CMS, 而针对 WordPress 的攻击也很多, 本文会讲述使用 Fail2ban 拦截对 WordPress 的暴力入侵。如果未安装 Fail2ban, 先安装 Fail2ban, 可以参考本站另一篇文章: 拦截暴力入侵的 IP — Fail2Ban 安装好 Fail2ban 后, 在 Fail2ban 的 filter 目录建立 wordpress …

[Continue Reading...]

手动解除 Fail2ban 封锁的 IP

Sam Tang 17 February 2017 Linux No Comments

Fail2ban 是十分好用的防御暴力破解攻击的工具, 将 Fail2ban 封锁的 IP 解除封锁, 只要使用 Fail2ban 内建的 fail2ban-client 即可完成。首先用 iptables 检视被封锁的 ip: # iptables -nvL 然后要知道被封锁的 IP 被 Fail2ban 那一个 Jail 封锁, 因为主机内可以设定了多个 Fail2ban jail, …

[Continue Reading...]

Linux 下用 iptables 预防 DDOS

Sam Tang 28 January 2017 Linux No Comments

DDOS 是十分常见的攻击，即使是一般使用者，下载一套 DDOS 软件，或者直接安装 kali linux, 便可以很简单发动 DDOS 攻击，除了遇到 DDOS 攻击才采取拦截外，也可以透过 iptables 或一些 Linux 设定来预防 DDOS 攻击，以下会列出一些预防 DDOS 的设定及 iptables 规则。 Linux Kernel 透过修改 Linux Kernel 的设定，同样可以有效减低 DDOS 的威胁，RHEL …

[Continue Reading...]

Linux 用 netstat 侦测 DDOS 攻击

Sam Tang 21 January 2017 Linux No Comments

当主机回应很慢时，除了可能是因为系统的负荷过大，或者系统设定错误外，另一个可能性是遭受 DDOS 攻击。对于小规模 DDOS 攻击, 使用 Linux 内建的工具侦测来源 IP 及阻挡可以达到一定的效果, 以下会示范用 netstat 及其他 Linux 内建指令，检测系统是否遭受 DDOS 攻击。用 netstat 列出所有连线, 可以用以下指令: 以上指令列出相当多的连线, 我们先用 grep 过滤出我们想要的资讯, 然后用 sort 将 …

[Continue Reading...]

iptables 指令入门

Sam Tang 13 November 2016 Linux No Comments

iptables 是一套 Linux 下的防火墙，可以按需要建立 iptables 规则，允许或阻挡网络流量。但透过 SSH 设定 iptables 时要格外小心，因为如果设定错误，可能会阻挡外部连线，需要到机器面前进行修复，多年前我试过输入一道错误的 iptables 指令，搞到要立即赶到 data center 修复。 iptables 设定时主要分三种类型，分别是 INPUT, FORWARD 及 OUTPUT。 INPUT: 这个行为是外来的连线，例如从远端 SSH 到服务器，iptables 会将这个连线定义为 INPUT。 FORWARD: 这是外来的连线，但最终目的地不是服务器本身，只是转送到其他机器，例如路由器，除了 …

[Continue Reading...]

RHEL / CentOS 防火墙开启埠号

Sam Tang 25 October 2016 Linux 2 Comments

RHEL 及 CentOS 默认的防火墙会默认限制埠号对外开放, 如果安装一些服务器 (例如 Apache, NFS, Samba 等), 在本机测试正常, 但不能在外部连接, 可能是给防火墙封锁了, 那便需要在防火墙开启相应的埠号 (如 Apache 要开启 80 或 443)。在 RHEL 6 及 CentOS 6, 默认是使用 iptables, 而在 …

[Continue Reading...]

Linux 禁止 ping 及开启 ping

Sam Tang 29 September 2016 Linux No Comments

Linux 系统默认允许回应 ping, 但有时允许回应 ping 会为服务器带来安全问题, 在 Linux 要禁止 ping 回应, 可以用以下两个方法实现: 1. 修改 Linux 核心参数以下方法是透过修改档案 /proc/sys/net/ipv4/icmp_echo_ignore_all, 默认值是 0, 改为 1 便会禁止 ping: # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all …

[Continue Reading...]

iptables 规则加入注解

Sam Tang 14 July 2015 Linux No Comments

iptables 是很多 Linux 发行版的默认防火墙, 在 iptables 加入多条规则后, 时间长了可能会忘记加入的原因, 如果为 iptables 规则加入注解, 就不会有以上问题。要在 iptables 的规则加入注解, 语法是在 iptables 指令加上 , 例如我要封锁 IP 1.2.3.4, 注解是 “block ddos ip”, 语法是这样: # iptables …

[Continue Reading...]

Tag: iptables