If you are running OpenVPN as a client, and the server you use is using push «redirect-gateway» then your client redirects all internet traffic over the VPN. Sometimes clients do not want this, but they can not change the server’s configuration. This page explains how to override redirect-gateway so the client does not need to redirect internet even though the server says to.
add allow all from any to 192.168.2.0/24 via ${natd_interface} mac aa:bb:cc:dd:ee:ff any
(только OpenBSD)
в консоли:
# ifconfig bridge0 rule pass in on fxp0 src 0:de:ad:be:ef:0 tag USER1
в pf.conf:
pass in on fxp0 tagged USER1
Нельзя сделать
/sbin/iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
Что имеем: есть сервер (8Гб памяти, Intel(R) Xeon(R) CPU E31220 @ 3.10GHz) FreeBSD 8.4 Release amd64, сайт на php5.2, nginx+apache+mysql.
Перейти полностью на php-fpm не получилось, поэтому пришлось защищаться как есть. Это поможет отразить небольшую syn flood атаку.
Ниже будет приведены выполненные действия для отражения атак.
Недавно, на один из старых серверов (там крутилась FreeBSD 7.3) пришла абуза от хостера, что на сервере замечен rootkit. Была информация, что при любом логине (а как позже оказалось, вообще при любой попытке, даже неудачной) на сервер он отправляет login/pass/ip на сервер злоумышленника в виде хитрого DNS запроса.
Недавно сообщалось, что такой руткит был найден на серверах с linux (там была протроянена либа libkeyutils.so). Гугление показало, что такого руткита для FreeBSD и в помине нет (а может плохо гуглил).
UPD: а вот похоже и оно
Тестовый стенд: Centos 6.2 (kernel 2.6.32-220.4.2.el6.x86_64), apache+php+mysql
Имеем очень много соединений с состоянием SYN_RECV (syn flood):
$netstat -ntu
...
tcp 0 0 XX.XX.XX.XX:80 202.51.102.34:40700 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 190.225.143.29:40123 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 101.255.71.7:38725 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 122.226.122.201:48952 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 186.91.63.97:44343 SYN_RECV
tcp 0 0 XX.XX.XX.XX:80 109.230.156.97:56149 SYN_RECV
...
Как с ними бороться?
Что бы ваш squid не определялся как прокси-сервер, добавляем в конфиг такое:
squid 3.1
forwarded_for delete
request_header_access X-Cache deny all
request_header_access X-Cache-Lookup deny all
request_header_access X-Forwarded-For deny all
request_header_access Via deny all
squid 3.0 и раньше
forwarded_for off
header_access X-Cache deny all
header_access X-Cache-Lookup deny all
header_access X-Forwarded-For deny all
header_access Forwarded-For deny all
header_access Via deny all
После этого сделать squid -k reconfigure и почистить куки, кешь в браузере.
Адресный пул представляет собой два или более интерфейсов, которые используются совместно группой пользователей. Адресный пул может быть указан в качестве целевого адреса в директивах nat-to, rdr-to, route-to, reply-to, и в дерективе dup-to в качестве опций фильтра (filter).
Mosh — замена(или дополнение) SSH. Он быстрее и отзывчивее, особенно на линках с высокой задержкой, например, в мобильных сетях. Набираете символ, и моментально видите его на экране, так же, как и в локальном терминале. Почему? Потому, что в Mosh реализован так называемый local line editing, который не дожидается ответа от сервера, а сразу все отображает на экране. Работает даже в полноэкранных приложениях, вроде vim или emacs. И это далеко не единственный плюс!
Опишу простые приёмы, которые повышают безопасность ssh. Не обязательно применять именно все рекомендации (некоторые вообще могут не подходить для ваших целей), но желательно как можно больше
Схема такая: client -> server1 (ip=XX.XX.XX.XX) -> server2 (IP=YY.YY.YY.YY) То есть получаем более-менее анонимное подключение. Причём с шифрованием в 256 бит. Хочу заменить, что у сервера server1 будет 2 конфигурации — клиента (для подключения к server2) и сервера (для подключения клиентов, типа client)
