OpenVPN — установка и настройка

Установка и тестирование проводилось под управлением CentOS 7 Установка yum -y update yum -y install epel-release yum -y install openvpn Настройка Сервер Генерируем корневой сертификат openssl genrsa -out /etc/openvpn/ca.key 4096 openssl req -x509 -new -key /etc/openvpn/ca.key -days 3650 \     -out /etc/openvpn/ca.crt \ -subj ‘/C=RU/ST=Moscow/L=Moscow/CN=JustHost.ru’ Генерируем сертификат сервера, подписанный корневым openssl genrsa -out /etc/openvpn/server.key 4096 […]

Читать далее

iptables — краткая инструкция

iptables — консольная утилита, интерфейс управления работой межсетевого экрана В данной статье рассматриваются примеры фильрации входящего трафика с помощью iptables Посмотреть текущие правила цепочки filter iptables -L Очищаем все цепочки таблицы filter iptables -F Пример 1. Запретить все что не разрешено Разрешить подключение с любых IP для определенных портов iptables -А INPUT —dport ПОРТ1,ПОРТ2,ПОРТ3 -j […]

Читать далее

BFD — краткая инструкция

Brute Force Detection (BFD) — скрипт, проверяющий ошибки или неудачные попытки авторизации в логах. Команда Описание -s|—standard run standard with output -q|—quiet run quiet with output hidden -a|—attackpool [STRING] list addresses that have attacked this host Удаление rm /etc/cron.d/bfd

Читать далее

kernel: nf_conntrack: table full, dropping packet.

У фаервола iptables переполнилась таблица соединений. Если началось внезапно, это точно ddos. Быстрый фикс: Дальше можно смотреть tcpdump, анализировать флуд. Помогут мои рецепты по тегу ddos и defence.

Читать далее

Защита от SYN флуда (SYN flood)

Заблокировать пакеты, у которых MSS лежит вне корректного диапазона 536:65535 Максимальный Размер TCP Сегмента (MSS) определяет максимальное количество данных, которые хост желает принимать в единственной TCP/IP датаграмме. Эта TCP/IP датаграмма может быть фрагментирована в уровне IP. Значение MSS посылают как опциию TCP заголовка только в сегменте TCP SYN. Каждая сторона на TCP соединении сообщает свое […]

Читать далее