Holsten

создать скрипт wall.sh например в /home и добавляем его в атозагрузку. Под линейку думаю заточите сами. #!/bin/sh#Firewall rulesINET="ppp0"INETIP="IP-addres"LAN="eth0"LANIP="ip-addres"UNPRIVPORTS="1024:65535"modprobe ip_tablesmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_nat_ftp# FORWARDINGecho 1 > /proc/sys/net/ipv4/ip_forward#Setting kernel tcp parameters to reduct DoS effects#Reduce DoS'ing ability by reducing timeouts#echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout#echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time#echo 0 > /proc/sys/net/ipv4/tcp_window_scaling#echo 0 > /proc/sys/net/ipv4/tcp_sack#echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog#echo 2 > /proc/sys/net/ipv4/tcp_synack_retries#echo 1 > /proc/sys/net/ipv4/tcp_timestamps#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all#echo 2 > /proc/sys/net/ipv4/tcp_syn_retries#echo 1 > /proc/sys/net/ipv4/tcp_keepalive_probes#echo 10 > /proc/sys/net/ipv4/tcp_keepalive_intvl#echo 1 > /proc/sys/net/ipv4/tcp_low_latency#echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow#echo 30 > /proc/sys/net/ipv4/ipfrag_time#echo 2048 > /proc/sys/net/ipv4/tcp_max_orphans#echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse#echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries#echo 1 >/proc/sys/net/ipv4/ip_no_pmtu_disc#echo $ICMP_ECHOREPLY_RATE > /proc/sys/net/ipv4/icmp_echoreply_rateecho 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responsesecho 0 > /proc/sys/net/ipv4/conf/all/accept_redirectsecho 1 > /proc/sys/net/ipv4/conf/all/log_martians# Очищаем предыдущие записиiptables -F INPUTiptables -F FORWARDiptables -F OUTPUTiptables -t nat -F PREROUTINGiptables -t nat -F POSTROUTINGiptables -t mangle -F# Установка политик по умолчаниюiptables -P INPUT DROPiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT# Разрешения пинг,текущие и родственные подключения и в нашей сети траффикiptables -A INPUT -i ppp0 -j ACCEPTiptables -A INPUT -i eth0 -j ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p icmp -j ACCEPTiptables -A INPUT -i $INET -p TCP ! --syn -m state --state NEW -j ACCEPTiptables -A INPUT -m state --state INVALID -j DROPiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT# NATiptables -A POSTROUTING -t nat -s 192.168.99.0/24 -o $INET -j MASQUERADE# Доверия до провайдера и между локальными интерфейсамиiptables -A INPUT -p ALL -s forummaxi.ru -i $INETIP -j ACCEPTiptables -A INPUT -p ALL -s forummaxi.ru -d 192.168.99.0/24 -j ACCEPTiptables -A INPUT -p ALL -s $INETIP -d 192.168.99.0/24 -j ACCEPT# Простая защита от DDoS-атаки (пропускаем только нужные нам соединения, правьте под себя)iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT# Открываем порты DNS#iptables -A INPUT -d $INETIP -p TCP --dport 53 -j ACCEPT#iptables -A INPUT -d $LANIP -p TCP --dport 53 -j ACCEPT#iptables -A INPUT -d $INETIP -p UDP --dport 53 -j ACCEPT#iptables -A INPUT -d $LANIP -p UDP --dport 53 -j ACCEPT# Открываем порты SSH#iptables -A INPUT -d $LANIP -p tcp --dport 22 -j ACCEPTiptables -A INPUT -d $INETIP -p tcp --dport 22 -j ACCEPT

Nginx & testcookie-nginx-module 1. Install required modules: $ sudo apt-get install libgeoip-dev $ sudo apt-get install libgd2-noxpm $ sudo apt-get install libgd2-noxpm-dev $ sudo apt-get install libgd2-xpm-dev $ sudo apt-get install libperl-dev $ sudo apt-get install libpcre3 libpcre3-dev $ sudo apt-get install libxml2-dev libxslt-dev 2. Download and Install Nginx: # wget http://nginx.org/download/nginx-1.4.4.tar.gz # tar -zxvf nginx-1.4.4.tar.gz # cd nginx-1.4.4 Download testcookie-nginx-module from http://kyprizel.github.io/testcookie-nginx-module/ # tar -zxvf kyprizel-testcookie-nginx-module-8da7c62.tar.gz # mv kyprizel-testcookie-nginx-module-8da7c62 kyprizel-testcookie-nginx-module # mkdir /var/lib/nginx/# ./configure—prefix=/etc/nginx —conf-path=/etc/nginx/nginx.conf —error-log-path=/var/log/nginx/error.log —http-client-body-temp-path=/var/lib/nginx/body —http-fastcgi-temp-path=/var/lib/nginx/fastcgi —http-log-path=/var/log/nginx/access.log —http-proxy-temp-path=/var/lib/nginx/proxy —http-scgi-temp-path=/var/lib/nginx/scgi —http-uwsgi-temp-path=/var/lib/nginx/uwsgi —lock-path=/var/lock/nginx.lock —pid-path=/var/run/nginx.pid —with-debug —with-http_addition_module —with-http_dav_module —with-http_flv_module —with-http_geoip_module —with-http_gzip_static_module —with-http_image_filter_module —with-http_mp4_module —with-http_perl_module —with-http_random_index_module —with-http_realip_module —with-http_secure_link_module —with-http_stub_status_module —with-http_ssl_module —with-http_sub_module —with-http_xslt_module —with-ipv6 —with-sha1=/usr/include/openssl —with-md5=/usr/include/openssl —with-mail —with-mail_ssl_module —add-module=kyprizel-testcookie-nginx-module Nginx installed in /etc/nginx folder. # mkdir /etc/nginx/sites-enabled/ # mkdir /etc/nginx/conf.d # cd /etc/nginx Download the following configuration file from pastebin: 1. nginx.conf[/size] : http://pastebin.com/23s0XNZE 2. conf.d/proxy.conf[/size] : http://pastebin.com/vzTFMJi2 3. site-available/www.bdneg.com[/size] : http://pastebin.com/jeEyhJ1P To prevent automatic parsing, challenge cookie value can be encrypted with AES-128 in CBC mode using custom/random key and iv, and then decrypted at client side with JavaScript using SlowAES. # svn checkout http://slowaes.googlecode.com/svn/trunk/ slowaes-read-only # cp slowaes-read-only/js/aes.js /var/www/aes.min.js Как установить NGINX на Debian из репозитория с кастомными параметрами компиляции Иногда требуется установить какой-нибудь софт с расширенными параметрами компиляции. В этой статье дана инструкция, как собрать NGINX с поддержкой Perl и GeoIP, установив его с помощью менеджера пакетов, чтобы в последствии было легко обновлять или удалить. Итак, дано: Debian 7 (код wheezy); Менеджер пакетов Apt; Хочется: Поставить самый свежий NGINX; Да еще и с поддержкой GeoIP и Perl. Базовая логика такая: подключаем репозиторий с самым свежим NGINX; с помощью apt выгружаем исходники NGINX без установки; меняем файл с правилами компиляции; устанавливаем с помощью Apt. Все последующие команды выполняются из под рута. Подключаем репозиторий со свежим NGINX Скачиваем ключ и устанавливаем его: wget http://nginx.org/keys/nginx_signing.key apt-key add nginx_signing.key Редактируем файл /etc/apt/sources.list, добавляем в него записи: deb http://nginx.org/packages/mainline/debian/ wheezy nginx deb-src http://nginx.org/packages/mainline/debian/ wheezy nginx Обновляем репозиторий apt-get update Конфигурируем NGINX, чтобы он скомпилировался с нужными библиотеками cd /usr/src apt-get source nginx apt-get build-dep nginx cd nginx-(version) cd debian vi rules В правила добавляем эти флаги: --with-http_perl_module \ --with-http_geoip_module \ Важно: использовать табы, а не пробелы; после \ не должно быть пробелов – только перенос строки. Далее собираем NGINX: cd ../../ apt-get source -b nginx Все: /etc/init.d/nginx start Happy proxy_passing.

Для начала скомпилируем сам модуль: aptitude install module-assistant xtables-addons-source linux-headers-`uname -r` aptitude install libtext-csv-xs-perl libxml-csv-perl libtext-csv-perl unzip module-assistant auto-install xtables-addons-source Если вылетит ошибка — жмите Continue и запускайте ещё раз — у меня после этого всё поставилось нормально. Теперь запустим такую команду: root@firewall:~# iptables -I INPUT ! -i lo -m geoip --src-cc US -j DROP Нам пожалуются, что у нас нет БД в каталоге. Либо /usr/share/xt_geoip/LE, либо /usr/share/xt_geoip/BE. Зависит от архитектуры, но мне лениво запоминать какой каталог от какой архитектуры. Да и скопипастить директорию проще, чем потом создавать) Я буду отталкиваться от того, что у меня попросили директорию /usr/share/xt_geoip/LE. Поставим нужные модули для perl и unzip: root@firewall:~# aptitude install libtext-csv-xs-perl libxml-csv-perl libtext-csv-perl unzip Собственно, проблема в том, что автособиралка модулей для дебиана не создаёт базу GeoIP для iptables. Но никто не мешает создать нам её руками. Идем за исходниками и распаковываем оттуда архив. После распаковки у меня получился каталог xtables-addons-1.28/ Соберем базу: root@firewall:~# cd xtables-addons-1.28/geoip/root@firewall ~/xtables-addons-1.28/geoip # ./geoip_download.shroot@firewall ~/xtables-addons-1.28/geoip # mkdir -p /usr/share/xt_geoip/LEroot@firewall ~/xtables-addons-1.28/geoip # ./geoip_build_db.pl -D /usr/share/xt_geoip/LE < GeoIPCountryWhois.csv База собрана. Можем начинать её использовать. Приведу несколько примеров. Бан КИТАЙ по 5060 udp и tcp iptables -A INPUT -p tcp -d $INETIP --dport 5060 -m geoip --src-cc CN -j DROP iptables -A INPUT -p udp -d $INETIP --dport 5060 -m geoip --src-cc CN -j DROP Забаним на сервере весь трафик от/до хостов, которые расположены не в Германии, Украине или России: root@firewall:~# iptables -I INPUT ! -i lo -m geoip ! --src-cc DE,UA,RU -j DROP Тоже самое, но только для 80го порта, с доступом только из России: root@firewall:~# iptables -I INPUT -p tcp --dport 80 ! -i lo -m geoip ! --src-cc RU -j DROP Забаним китай совсем: root@firewall:~# iptables -I INPUT ! -i lo -m geoip --src-cc CN -j DROP