17.01.2022

Ох уж эти Линуксы (Proxmox mail)

Решил перед postfixом поставить еще один postfix так называемый Proxmox mail ( он с веб мордой, да и всякие оперативные базы данных для поиска если пользователея чтото пропало )

Так как постоянно лезет всякая нечисть  то к нему надо поднастроить iptables

Решил настройки добавить через ufw (apt-get install ufw)

Кроме того ipset. (apt-get install ipset)

И до кучи iptables-persistent(apt-get install iptables-persistent)


в /etc/ufw/before.rules

добавляем после (# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT  ):

#Drop ipset
-A ufw-before-input -m set --match-set blacklist src -j LOG  --log-prefix "[UFW BLOCK list] "
-A ufw-before-input -m set --match-set blacklist src -j DROP


Добавляем автозагрузку ipset:

cat /etc/systemd/system/ipset-persistent.service

[Unit]
Description=ipset persistancy service
DefaultDependencies=no
Requires=netfilter-persistent.service
Requires=ufw.service
Before=network.target
Before=netfilter-persistent.service
Before=ufw.service
ConditionFileNotEmpty=/etc/iptables/ipsets.conf

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/sbin/ipset restore -f -! /etc/iptables/ipsets.conf

# save on service stop, system shutdown etc.
ExecStop=/sbin/ipset save blacklist -f /etc/iptables/ipsets.conf

[Install]
WantedBy=multi-user.target

RequiredBy=netfilter-persistent.service
RequiredBy=ufw.service 

Сохраняем списки при перезагрузки 

mkdir -p /etc/iptables/

touch  /etc/iptables/ipsets.conf

Добавим список (пока пустой)

ipset create blacklist iphash hashsize 65536

 добавляем сохранение блеклистов каждый день утром

crontab -e

0 5 * * * /sbin/ipset save blacklist -f /etc/iptables/ipsets.conf

рестартуем:

systemctl daemon-reload 

systemctl enable ipset-persistent.service

systemctl restart ipset-persistent.service

Запустим UFW

ufw allow 25 ufw enable
Есди ругается типа такого то несоздана цепочка ipset
w# ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ERROR: problem running ufw-init
iptables-restore v1.8.2 (nf_tables): Set blacklist doesn't exist.

Error occurred at line: 25
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Problem running '/etc/ufw/before.rules'

Добавление в блеклист новых нетоварищей
ipset add blacklist 87.251.86.73
Ярлыки: , ,

Комментариев нет :

Отправить комментарий

Подписаться на: Комментарии к сообщению ( Atom )