O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1
O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1
iptables
este un instrument puternic folosit pentru a configura firewall-ul integrat al kernel-ului Linux. Este preinstalat pe majoritatea distribuțiilor Ubuntu, însă dacă utilizați o versiune Ubuntu personalizată sau rulați într-un container, cel mai probabil va trebui să o instalați manual.
sudo apt-get install iptables iptables-persistent
După instalare, dacă vi se solicită să vă salvați regulile actuale, nu contează momentan deoarece veți elimina sau crea noi reguli mai târziu.
Puteți utiliza netcat
comanda (pe un computer diferit de serverul dvs.) pentru a testa care dintre porturile dvs. sunt deschise sau închise.
nc -z -w5 -v SERVER_IP PORT
nc
este comanda netcat.-z
trimiteți doar un pachet fără sarcină utilă.-w5
așteptați până la 5 secunde pentru un răspuns.-v
modul verbos.SERVER_IP
vă cu adresa serverului.PORT
cu portul pe care doriți să îl testați dacă este deschis (de exemplu 22
).Pe serverul dvs. puteți utiliza netstat
comanda pentru a vedea ce porturi ascultă în prezent conexiunile.
sudo netstat -tulpn
Notă: Deși netstat
este util să găsiți porturile cu care doriți să lucrați, ar trebui să fiți conștienți de aplicațiile pe care le-ați instalat în prezent pe serverul dvs. și de ce porturi ascultă, nu trebuie să permiteți fiecare port pe care îl găsiți în netstat
ieșire .
sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT
-A INPUT
adăuga o regulă în INPUT
lanț, un lanț este un grup de reguli, cele pe care le folosim cel mai mult pe acest ghid va fi INPUT
, OUTPUT
și PREROUTING
.-p tcp
stabilit tcp
ca protocolul această regulă se va aplica, puteți utiliza și alte protocoale , cum ar fi udp
, icmp
sau all
.-m tcp
utilizați tcp
modulul. iptables
acceptă funcții suplimentare prin module, dintre care unele sunt deja preinstalate iptables
și altele, cum ar fi geoip
modulul.--dport 22
comenzile care încep cu --
indică opțiuni suplimentare pentru modulul folosit anterior, în acest caz vom spune tcp
modulului să se aplice numai la port 22
.-m geoip
utilizați geoip
modulul. Acesta va limita pachetele pe bază de țară (mai multe informații la pasul 5).--src-cc PE
spuneți geoip
modulului să limiteze pachetele primite la cele care provin din Peru. Pentru mai multe coduri de țară, căutați ISO 3166 country codes
pe internet.-j ACCEPT
-j
argumentul spune iptables
ce să facă în cazul în care un pachet se potrivește cu constrângerile specificate în argumentele anterioare. În acest caz, va ACCEPT
aceste pachete, alte opțiuni sunt REJECT
, DROP
și multe altele. Puteți găsi mai multe opțiuni căutând iptables jump targets
pe internet.Enumerați toate regulile.
sudo iptables -L
Enumerați toate comenzile care au fost utilizate pentru a crea regulile utilizate în prezent, utile pentru a edita sau șterge reguli.
sudo iptables -S
Pentru a șterge o regulă specifică, alegeți o regulă din sudo iptables -S
și înlocuiți-o -A
cu -D
.
# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Enumerați toate regulile numerotate din INPUT
lanț.
sudo iptables -L INPUT --line-numbers
Ștergeți o regulă numerotată.
sudo iptables -D INPUT 2
Pentru a șterge toate regulile.
sudo iptables -F
Avertisment: este posibil să pierdeți conexiunea dacă vă conectați prin SSH .
Ștergeți numai regulile din OUTPUT
lanț.
sudo iptables -F OUTPUT
Permiteți SSH
pe eth0
interfață
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-i eth0
aplicați regula unei interfețe specifice, pentru a permite de la orice interfață să eliminați această comandă.Pentru a limita pachetele de intrare la un anumit IP (adică 10.0.3.1/32
).
sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
-s 10.0.3.1/32
specifică o IP / subrețea din care să permită conexiunile.Setați regulile de lanț implicite.
Avertisment: înainte de a continua, asigurați-vă că ați aplicat regulile corecte SSH dacă lucrați pe un server de la distanță .
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
-P INPUT DROP
neagă toate pachetele de intrare (adică nimeni nu se va putea conecta la serverele care rulează, cum ar fi Apache, SQL, etc).-P FORWARD DROP
neagă toate pachetele trimise (adică atunci când utilizați sistemul dvs. ca router).-P OUTPUT ACCEPT
permite toate pachetele de ieșire (adică atunci când efectuați o HTTP
solicitare).Permiteți tot traficul pe interfața loopback ( recomandat ).
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
Salvați iptables
regulile actuale .
sudo netfilter-persistent save
sudo netfilter-persistent reload
Dacă executați într-un container, netfilter-persistent
comanda cel mai probabil nu va funcționa, deci trebuie să reconfigurați iptables-persistent
pachetul.
sudo dpkg-reconfigure iptables-persistent
Permiteți interogări DNS.
sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Utilizați state
modulul pentru a permite RELATED
și a ESTABLISHED
expedia pachetele.
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Permiteți porturile dorite; în acest caz, HTTP
porturi.
sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
Mai multe porturi pe care poate doriți să le utilizați.
FTP
: tcp la portul 21HTTPS
: tcp la portul 443DHCP
: udp la port 67NTP
: udp la portul 123Notă: Dacă doriți să permiteți apt-get
, poate fi necesar să permiteți FTP
șiHTTPS
.
Permiteți traficul returnat numai pentru RELATED
și deja ESTABLISHED
conexiuni ( recomandat deoarece uneori este necesară o comunicare bidirecțională).
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Permiteți solicitări ping din exterior.
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
Trafic direct pe eth0
portul 2200
la 10.0.3.21:22
(util dacă doriți să expuneți un server SSH care se execută în interiorul unui container).
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22
Dacă vă conectați cu succes la serverul dvs. utilizând SSH, se va crea o conexiune persistentă (adică nu există conexiuni noi, chiar dacă sunteți conectat mai mult de o oră). Dacă nu reușiți și încercați să vă autentificați din nou, se va crea o nouă conexiune. Acest lucru va bloca încercările continue de conectare SSH prin limitarea noilor conexiuni pe oră.
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP
Redirecționați toate cererile din port 443
către port 4430
(util dacă doriți să vă legați de port 443
fără root
).
sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT
ens3
interfața de rețea.-m geoip
Modulul blocului de țară (vezi pasul 5).Avertisment: Nu folosiți lo
, sistemul de operare va arunca toate pachetele redirecționate către interfața loopback .
xtables-addons
Puteți instala xtables-addons
modulul folosind diferite metode, nu ezitați să utilizați metoda de instalare care funcționează cel mai bine pentru dvs.
Instalați folosind apt-get
.
sudo apt-get install xtables-addons-common
Instalați folosind module-assistant
.
sudo apt-get install module-assistant xtables-addons-source
sudo module-assistant --verbose --text-mode auto-install xtables-addons
Instalați de la sursă.
sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
cd xtables-addons
./autogen.sh
./configure
make
sudo make install
Construiți o bază de date „țări”.
sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv
Reporniți sistemul.
sudo reboot
După ce xtables-addons
a fost instalat cu succes, după prima repornire, rulați depmod
altfel blocarea țării nu va funcționa corect (acest lucru este necesar doar pentru prima dată).
sudo depmod
Creați un script la /etc/cron.monthly/geoip-updater
actualizarea geoip
lunară a bazei de date.
#!/usr/bin/env bash
# this script is intended to run with sudo privileges
echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip
echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl
echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater
Faceți /etc/cron.monthly/geoip-updater
executabil.
sudo chmod +x /etc/cron.monthly/geoip-updater
_ Notă: Dacă primiți o iptables: No chain/target/match by that name
eroare când încercați să aplicați o geoip
regulă, este posibil să xtables-addons
nu fi fost instalată corect. Încercați o altă metodă de instalare.
Blocați toate pachetele primite din China, Hong Kong, Rusia și Coreea.
sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP
Permiteți pachetele de intrare pe port 80
de oriunde, cu excepția țărilor de mai sus.
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Permiteți pachetele de intrare pe ens3
interfața din port 22
doar din Peru (nu ezitați să alegeți codul de țară din care doriți să acceptați pachetele, de exemplu, US
pentru Statele Unite).
sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT
Permiteți pachetele de intrare pe port 443
doar din Peru.
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT
O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1
Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.
Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.
Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.
Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.
CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?
Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.
Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!
Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.
Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe