特定のサービスをホストするために専用サーバーをレンタルしています。
セキュリティ上の理由から、リストされた DDNS アドレスをチェックし、一致する接続にのみ接続するルール チェーンを作成しました。国別にブロックまたは許可するよりも優れているようです。
元。
-A ACCEPT_PERSONAL -s xxx.dns.com -j ACCEPT
-A ACCEPT_PERSONAL -s yyy.dns.com -j ACCEPT
しばらくはうまく機能していましたが、数日後突然サーバーにアクセスできなくなりました。ホスティング会社からのサポートを受けて、Webmin 経由でアクセスできるようになり、iptable 内の DDNS アドレスが実際の IP に置き換えられ、何らかの理由で変更されたことがわかりました。
何が起こったのか、何か考えはありますか? 特に毎週、cron ジョブをチェックしましたが、疑わしいものは見つかりませんでした。
また、Webminを使用して値を設定しています
答え1
DNS 解決はファイアウォール ルールがカーネルにロードされる前に行われるため、iptables を使用して実行したい操作を実行することはできません。
答え2
リストされているDDNSアドレスをチェックしているとおっしゃっていますが、これらのリストは100%信頼できるものではないことが何度もありました。私の静的IPは、いくつかのリストでは動的として分類されています。そのため、マシンにアクセスしようとしたパブリックIPもDDNSリストに入っている可能性があります。SSH攻撃からシステムを保護しようとしている場合は、次のように考えることをお勧めします。拒否ホスト
答え3
hosts.allowwomble が言ったように、iptables はルールがロードされたときに名前解決を行います。たとえば、次のようにアクセスを管理したい場合があります。
sshd: xxx.dns.com
sshd: yyy.dns.com
の「AllowUsers」を使用してアクセスを管理することもできますsshd_config。どちらの方法でも、接続時にアドレスが検索されます。
答え4
失敗2バン私の仮想サーバーでは、とてもうまく機能しています。複数のサービス、ssh、ftp などで動作するように設定できます。現在、SSH と FTPS でブルート フォース攻撃をブロックするために使用しています。サーバーへのログイン試行が X 回失敗すると、iptables を使用して一定期間 IP を自動的に禁止します。