forum.opennet.ru

"Раздел полезных советов: Пример правил nftables с реализацией port knoсking для открытия доступа к SSH"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Пример правил nftables с реализацией port knoсking для открытия доступа к SSH"	+1 +/–
Сообщение от Пряник (?), 12-Май-23, 09:55
Никогда не понимал, зачем port knocking для SSH? Там итак где-то 1 попытка в секунду, с такой скоростью брутфорс не сработает. Лучше для уязвимых сервисов, типа RDP/VNC/SMB/IPMI. Попытка сменить SSH порт вообще забавляет. Может ещё порт SMTP/IMAP смените на 2525? Мало ли ваш postfix взломают и начнут спам слать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Пример правил nftables с реализацией port knoсking для открытия доступа к SSH, auto_tips, 01-Апр-23, 08:03 [смотреть все]

chain OUTPUT -- комментарии при обработке лупбека неправильные Понятно, что к, sabitov, 01-Апр-23, 08:03 (1) //
- Так лучше Я, если честно, думал что возникнет вопрос, прежде всего, про iif d, umask, 02-Апр-23, 01:04 (4)
Ну, и если тешить паранойю, то icmpv6 лучше проверять отдельным правилом, т к о, sabitov, 01-Апр-23, 08:19 (2) //
- gt оверквотинг удален Спасибо А можно увидеть ваш rule set полностью Думаю, зд, umask, 02-Апр-23, 01:11 (5)
Для включения port knocking нужно закомментировать правила в rate limits и р, anonymous, 01-Апр-23, 13:18 (3)
Вообще сурово так, для такой задачи то Не проще URL knocking Курлишь секретны, OpenEcho, 02-Апр-23, 08:01 (6) //
- Есть маленькая незадачка - вёбсервер к тому времени может лечь, а чтобы поднять , Tron is Whistling, 04-Апр-23, 09:56 (10) //
  - И как часто веб сервера ложаться И ни какого мониторинга который автоматическ, OpenEcho, 04-Апр-23, 19:31 (12) //
    - Ещё раз SSH нужен для доступа к системе в т ч в критических случаях Подвязыва, Tron is Whistling, 05-Апр-23, 09:19 (16)
      - SYN кстати прикольная тема На тот же порт, где и SSH Выглядеть будет просто ка, Tron is Whistling, 05-Апр-23, 09:21 (17)
    - Вот это и будет как раз именно тот самый день Когда сильно пожалеешь о усложнен, Аноним, 06-Июл-23, 17:04 (33)
- Впрочем никто не мешает сделать вместо port knocking просто u32 knocking - и пос, Tron is Whistling, 04-Апр-23, 09:57 (11) //
  - Это будет явный засвет для MITM в смысле что используется какая-то технология, , OpenEcho, 04-Апр-23, 19:36 (13) //
    - Ну, ещё раз повторюсь - HTTPS к тому времени может лежать, и чего делать Ехать , Tron is Whistling, 05-Апр-23, 09:14 (14)
    - Ну и опять же - можно не засвечивать UDP бывает разный На порт 53 например отп, Tron is Whistling, 05-Апр-23, 09:16 (15)
set trusted_ipv4_set 169 254 169 254,Зачем метадату то в трастед , Anonx, 02-Апр-23, 10:06 (7)
Вообще из всей этой портяны неплохо бы было выделить только собственно port knoc, Tron is Whistling, 04-Апр-23, 09:51 (8)
На iptables recent или iptables ipset SET сие кстати выглядит куда читабельнее , Tron is Whistling, 04-Апр-23, 09:55 (9) //
- И примерно в 3 раза короче , Аноним, 05-Апр-23, 18:33 (19)
Ложь Это стырено с nftables manual , Аноним, 05-Апр-23, 18:32 (18) //
- O_oНичего себе Весь ruleset сп ли , Pensia2077, 05-Апр-23, 23:50 (20) //
  - Ваш мусор до и после стыренных правил ничего не меняет Ссылки на оригиналы остав, Аноним, 06-Апр-23, 13:19 (21)
А со стороны клиента как стучаться в это нужно и чем , Страдивариус, 06-Апр-23, 15:26 (22) //
- knockd knock, Pensia2077, 12-Апр-23, 01:27 (25)
Не надо так мудрить с шибангом , pashev.ru, 09-Апр-23, 00:06 (23) //
- Why not , Pensia2077, 12-Апр-23, 01:26 (24)
Что за шизики пишут эти статьи Для создания правила port-knocking с использов, Hui, 15-Апр-23, 12:02 (26)
Никогда не понимал, зачем port knocking для SSH Там итак где-то 1 попытка в сек , Пряник, 12-Май-23, 09:55 (28) //
- Логи засираются , Страдивариус, 05-Июл-23, 21:19 (32)
- 4 гига логов по сравнению с 20 мегабайт Если места хватает, то не страшно, но н, xen, 28-Июл-23, 15:00 (36) //
  - Вспоминаем про RateLimit логов , Пряник, 28-Июл-23, 15:50 (37) //
    - Ага, чтобы успешный вход злоумышленника вообще не был залогирован , mikhailnov, 01-Авг-23, 20:29 (38)
Можно traceroute tracepath в студию, где ICMPv6 без искажений проходит , pavlinux, 13-Июн-23, 13:49 (29)
Сложно очень Я бы примерно так действовал для последовательности 1111, 2222, 33, Аноним, 16-Июн-23, 22:49 (30)
Такая простыня проще надо быть iptables -A INPUT -p tcp -m tcp --dport 1111 -, Аноним, 26-Июн-23, 17:01 (31)
nftables - фаервол курильщикаiptables ipset - фаервол здорового человека, Аноним, 10-Июл-23, 17:29 (34)
Коллеги, прошу прощения если я чего-то матёро недогоняю , но вот реально, эта , daWSL, 21-Июл-23, 21:08 (35)
port knocking это своего рода пароль но зачем есть же сертификаты, лохпидр, 05-Авг-23, 13:21 (39)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру