Как временно заблокировать IP-адрес, который делает слишком много обращений к Сервер с iptables?
это мой первый вопрос.
Я сделал следующий сценарий, чтобы защитить свой сервер от Slowloris и некоторых DDOS.
#!/bin/sh
# It does not allow more than 10 connections per IP on ports 80 and 443. And log it.
# Except when the IP comes from 123.456.789.000
/sbin/iptables -A INPUT -p tcp --syn --dport 80 ! -s 123.456.789.000 -m connlimit --connlimit-above 10 -j LOG --log-prefix "BLOCK ATTACK: " --log-level 6
/sbin/iptables -A INPUT -p tcp --syn --dport 80 ! -s 123.456.789.000 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
/sbin/iptables -A INPUT -p tcp --syn --dport 443 ! -s 123.456.789.000 -m connlimit --connlimit-above 10 -j LOG --log-prefix "BLOCK ATTACK HTTPS: " --log-level 6
/sbin/iptables -A INPUT -p tcp --syn --dport 443 ! -s 123.456.789.000 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
Первый вопрос: это правильно? будет работать как хотелось бы?
Второй вопрос: как мне адаптировать этот код iptables для временной блокировки IP, если - connlimit-above 10 произойдет 3 раза?
Примечание: я знаю fail2ban, но хочу использовать iptables . авторитетные серверы DNS всего кампуса используют BIND и не поддерживают динамическое обновление, поэтому я использую пару DNS-серверов Windows в своем отделе.
Мысли?
Спасибо!
[root@dept-example ~]# realm discover -v example.edu
* Resolving: _ldap._tcp.example.edu
* Performing LDAP DSE lookup on: 192.0.2.177
* Performing LDAP DSE lookup on: 192.0.2.176
* Successfully discovered: example.edu
example.edu
type: kerberos
realm-name: EXAMPLE.EDU
domain-name: example.edu
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common
[root@dept-example ~]# realm join example.edu -v -U 'example.edu\adm-jsmith'
* Resolving: _ldap._tcp.example.edu
* Performing LDAP DSE lookup on: 192.0.2.176
* Performing LDAP DSE lookup on: 192.0.2.178
* Successfully discovered: example.edu
Password for example.edu\adm-jsmith:
* Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.K4T3EY -U fsu.edu\adm-jsmith ads join example.edu
Enter example.edu\adm-jsmith's password:
Using short domain name -- EXAMPLE
Joined 'DEPT-EXAMPLE' to dns domain 'example.edu'
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.K4T3EY -U example.edu\adm-jsmith ads keytab create
Enter example.edu\adm-jsmith's password:kerberos_kinit_password example.edu\adm-jsmith@EXAMPLE.EDU failed: Client not found in Kerberos database
kerberos_kinit_password example.edu\adm-jsmith@EXAMPLE.EDU failed: Client not found in Kerberos database
! Extracting host keytab failed
realm: Couldn't join realm: Extracting host keytab failed
[root@dept-example ~]#
Я обнаружил такое же сообщение об ошибке при попытке присоединиться к домену AD на сервере CentOS 7.2. Однако, вопреки указаниям, у меня сработала передача только имени пользователя:
realm join example.edu -v -U 'adm-jsmith'
Я перепробовал много вещей, пока не увидел ответ выше, просто используя имя пользователя. Это был ключ. Я продолжал получать сообщения об ошибке kdc и ошибке проверки подлинности kerberos до тех пор, пока не использовал следующее:
realm --verbose join -U 'administrator' host.domain.com
Я предполагаю, что вы установили файл /etc/resolv.conf в соответствии с вашим доменным именем. Можете ли вы попробовать, как показано ниже, используя заглавные буквы для Domain.com
realm join -U adm-jsmith@EXAMPLE.EDU <givedomaincontrollerip> -v
Пожалуйста, опубликуйте o / p, если вы получить любую ошибку.