Я пытаюсь настроить веб-сервер с помощью Odroid U3 ; в качестве ОС у меня Debian 7.4. Проблема возникла при попытке загрузить правила iptables с помощью iptables-persistent. Я использую тот же файл с правилами, которые я использовал в течение некоторого времени, но по какой-то причине теперь он отказывается работать (у меня есть другой сервер с Odroid U2 и Debian 7, и он работает нормально).

iptables-restore выдает сообщение об ошибке на линии с COMMIT.

Я выделил проблему в части, посвященной предотвращению перебора ssh. При попытке добавить эти правила вручную я получаю «iptables: нет цепочки / цели / совпадения с этим именем». Вот правила:

:INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [8:1088] -A INPUT -i eth0 -p tcp -m multiport --dports 67,80,465 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m multiport --sports 67,80,465 -m state --state ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,67,80,465 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --dports 67,80,465 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

-A ВХОД -p tcp -m tcp --dport 22 -m состояние - состояние NEW -m недавно --m недавний --set - имя SSH --rsource -A INPUT -p tcp -m tcp --dport 22 -m недавно - -rcheck --seconds 30 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -m недавно --rcheck --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j LOG - журнал-префикс "SSH brute force" -A INPUT -p tcp -m tcp --dport 22 -m недавно --update --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -j ПРИНЯТЬ

-A ВЫХОД -p udp --dport 123 -j ПРИНЯТЬ -A ВВОД -p udp --sport 123 -j ПРИНЯТЬ КОМИТЕТ

Что мне не хватает?

заранее спасибо

|источник

1 ответ1

0

Понял!

На других моих машинах у меня был Debian Wheezy, и версия пакета iptables для armfh была 1.4.14.

В настоящее время используется Debian Jessie, версия 1.4.21 (последняя)

Где-то вдоль линии --set (и, судя по всему, вся "недавняя" часть) была удалена.

Нужен будет другой способ предотвратить грубое принуждение ...

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .