私はウェブサーバーをセットアップしようとしていますオドロイドU3; OS として Debian 7.4 を使用しています。iptables-persistent を使用して iptables ルールをロードしようとしたときに問題が発生しました。しばらく使用していたルールと同じファイルを使用していますが、何らかの理由で動作しなくなりました (Odroid U2 と Debian 7 を搭載した別のサーバーがあり、正常に動作しています)。
iptables-restore は COMMIT の行に失敗メッセージを表示します。
問題を ssh ブルート フォース防止部分に特定しました。これらのルールを手動で追加しようとすると、「iptables: その名前によるチェーン/ターゲット/一致がありません」というメッセージが表示されます。ルールは次のとおりです。
:INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [8:1088] -A INPUT -i eth0 -p tcp -m multiport --dports 67,80,465 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m multiport --sports 67,80,465 -m state --state ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,67,80,465 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --dports 67,80,465 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "SSH brute force " -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p udp --dport 123 -j ACCEPT -A INPUT -p udp --sport 123 -j ACCEPT COMMIT
何が足りないのでしょうか?
よろしくお願いします
答え1
分かりました!
他のマシンではDebianを使っていました喘鳴そして、iptablesパッケージのarmfhバージョンは1.4.14
現在のシステムはDebianですジェシーバージョンは1.4.21(最新)
どこかの時点で --set (そして見たところ「最近」の部分全体) が削除されました。
ブルートフォース攻撃を防ぐには別の方法が必要になります...