Как быстро сбросить iptables, не потеряв доступ по SSH
Иногда после кривой настройки iptables можно отрезать себя от сервера. Но если SSH-сессия ещё активна — есть шанс всё вернуть.
🔧 Пошагово:
1. Сохраняем текущие правила в файл — на всякий случай:
2. Создаём “спасательный” скрипт для сброса:
3. Запускаем с отложенным выполнением (через 1 минуту):
4. ⚠️ За это время проверь правила и поправь ошибки.
Если всё заработает — отмени задание, чтобы не сбросить то, что уже исправлено:
#Linux #iptables #ssh
Иногда после кривой настройки iptables можно отрезать себя от сервера. Но если SSH-сессия ещё активна — есть шанс всё вернуть.
🔧 Пошагово:
1. Сохраняем текущие правила в файл — на всякий случай:
iptables-save > /root/iptables.bak2. Создаём “спасательный” скрипт для сброса:
cat <<EOF > /tmp/flush.sh
#!/bin/bash
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
EOF
chmod +x /tmp/flush.sh3. Запускаем с отложенным выполнением (через 1 минуту):
at now + 1 minute -f /tmp/flush.sh4. ⚠️ За это время проверь правила и поправь ошибки.
Если всё заработает — отмени задание, чтобы не сбросить то, что уже исправлено:
atq # узнать ID задания
atrm <ID>Этот приём спасает при ошибках в firewall’е, когда нельзя подключиться заново, но активная сессия ещё жива.
💡Добавляй в iptables-скрипты проверку подключения (например, через ping/curl), прежде чем применять DROP-политики.
#Linux #iptables #ssh
👍11❤5✍5🤯1🤝1
🔒 iptables: блокируем скан nmap
Многие забывают:
📌 Цель: заблокировать NULL, FIN, XMAS сканы — любимые техники скрытного обнаружения.
👣 Пошагово:
💡 Эти сканы эксплуатируют особенности TCP — они не характерны для нормального трафика. Если ты не хостишь экзотику, можно смело дропать.
🔥 Добавь логирование в отдельную цепочку для отладки:
#Linux #iptables
Многие забывают:
nmap умеет скрываться. Обычные правила iptables не всегда помогут. Но есть трюк.📌 Цель: заблокировать NULL, FIN, XMAS сканы — любимые техники скрытного обнаружения.
👣 Пошагово:
# Блокируем NULL-скан (без флагов)
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# Блокируем FIN-скан (только FIN-флаг)
iptables -A INPUT -p tcp --tcp-flags ALL FIN -j DROP
# Блокируем XMAS-скан (FIN, PSH, URG)
iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
💡 Эти сканы эксплуатируют особенности TCP — они не характерны для нормального трафика. Если ты не хостишь экзотику, можно смело дропать.
⚠️ Важно: Не перебарщивай — агрессивные правила могут мешать нестандартным приложениям (например, BitTorrent). Проверяй логи!
🔥 Добавь логирование в отдельную цепочку для отладки:
iptables -N SCAN_DROP
iptables -A SCAN_DROP -j LOG --log-prefix "PortScan Blocked: " --log-level 7
iptables -A SCAN_DROP -j DROP
# Пример с логом:
iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j SCAN_DROP
Защита от портсканирования — это must-have на фронте. Идеально в связке с fail2ban.
#Linux #iptables
👍17🔥5✍3