sshd 及 vsftpd 除了可用 firewall-cmd 或 iptables 的 –hitcount 參數下指令來防範暴力破解,也可安裝現成的 fail2ban 套件來防範。
標籤彙整: firewall-cmd
利用 firewall-cmd 建立封包轉送並記錄機制
使用 firewll-cmd 建立封包 forward 機制,可使用:
#firewall-cmd --permanent --add-forward
#firewall-cmd --permanent --add-masquerade
#firewall-cmd --permanent --add-forward-port=port=53:proto=udp:toport=53:toaddr=8.8.8.8
#firewall-cmd --reload
上面的指令,可以將DNS查詢的封包,全部轉送到Google DNS去。
閱讀全文
使用 ipset 及 firewalld 做黑名單管理
一、先建立黑名單:
ipset create blacklist hash:ip hashsize 4096
二、加入 IP 位址:
ipset add blacklist 192.168.0.5
ipset add blacklist 192.168.0.100
ipset add blacklist 192.168.0.220
三、建立 firewalld 規則:
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m set --match-set blacklist src -j DROP
使用 firewalld 限制同一 IP 單位時間內之連線數
為了限制同一個 IP 在單位時間內之連線數量,可以運用 iptables 來達成。CentOS 7 之後,改成使用 firewalld 來管理 iptables,當然依然可以使用 iptables 指令來處理,但還是想了解一下如何利用 firewalld 來做到。