tomsk's questions

Eu uso o AlmaLinux 9 e entendo que há um novo serviço de backend nftables que pode ser gerenciado pelo comando iptables-nft, então eu defini algumas regras e meu conjunto de regras se parece com:

# Warning: table ip nat is managed by iptables-nft, do not touch!
table ip nat {
    chain DOCKER {
        iifname "docker0" counter packets 0 bytes 0 return
        iifname != "docker0" tcp dport 8080 counter packets 3 bytes 180 dnat to 172.17.0.2:80
        iifname != "docker0" tcp dport 9001 counter packets 4 bytes 240 dnat to 172.17.0.3:9001
    }

    chain POSTROUTING {
        type nat hook postrouting priority srcnat; policy accept;
        ip saddr 172.17.0.0/16 oifname != "docker0" counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.0/16 oifname != "docker0" counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.0/16 oifname != "docker0" counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.2 ip daddr 172.17.0.2 tcp dport 9001 counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.2 ip daddr 172.17.0.2 tcp dport 9001 counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.2 ip daddr 172.17.0.2 tcp dport 80 counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.3 ip daddr 172.17.0.3 tcp dport 9001 counter packets 0 bytes 0 masquerade
    }

    chain PREROUTING {
        type nat hook prerouting priority dstnat; policy accept;
        fib daddr type local counter packets 236 bytes 12653 jump DOCKER
        fib daddr type local counter packets 39 bytes 1732 jump DOCKER
        fib daddr type local counter packets 39 bytes 1732 jump DOCKER
        fib daddr type local counter packets 23 bytes 1056 jump DOCKER
        fib daddr type local counter packets 23 bytes 1056 jump DOCKER
    }

    chain OUTPUT {
        type nat hook output priority dstnat; policy accept;
        ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
        ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
        ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
    }
}
# Warning: table ip filter is managed by iptables-nft, do not touch!
table ip filter {
    chain FORWARD {
        type filter hook forward priority filter; policy drop;
        counter packets 178 bytes 55546 jump DOCKER-USER
        counter packets 178 bytes 55546 jump DOCKER-ISOLATION-STAGE-1
        oifname "docker0" ct state related,established counter packets 84 bytes 11338 accept
        oifname "docker0" counter packets 7 bytes 420 jump DOCKER
        iifname "docker0" oifname != "docker0" counter packets 87 bytes 43788 accept
        iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
    }

    chain DOCKER-USER {
        counter packets 178 bytes 55546 return
    }

    chain INPUT {
        type filter hook input priority filter; policy drop;
        ct state established,related counter packets 195 bytes 18089 accept
        tcp dport 22 counter packets 2 bytes 120 accept
        tcp dport 443 counter packets 0 bytes 0 accept
    }

    chain DOCKER {
        ip daddr 172.17.0.2 iifname != "docker0" oifname "docker0" tcp dport 80 counter packets 3 bytes 180 accept
        ip daddr 172.17.0.3 iifname != "docker0" oifname "docker0" tcp dport 9001 counter packets 4 bytes 240 accept
    }

    chain DOCKER-ISOLATION-STAGE-1 {
        iifname "docker0" oifname != "docker0" counter packets 87 bytes 43788 jump DOCKER-ISOLATION-STAGE-2
        counter packets 178 bytes 55546 return
    }

    chain DOCKER-ISOLATION-STAGE-2 {
        oifname "docker0" counter packets 0 bytes 0 drop
        counter packets 87 bytes 43788 return
    }
}

esse conjunto de regras é salvo para /etc/sysconfig/nftables.confser carregado toda vez que o servidor é reiniciado, como você pode ver na cadeia INPUT, tudo deve ser descartado, exceto as portas 22 e 443, então tentei executar o teste do servidor nginx na porta 8080 e ainda consigo acessá-lo, meu firewall não está bloqueando nada... por quê? mesmo quando a política INPUT está definida para ser descartada.

EDITAR2:

então eu li que o docker usa a cadeia DOCKER-USER para regras definidas pelo usuário, então eu fiz:

table ip filter {
    chain FORWARD {
        type filter hook forward priority filter; policy drop;
        counter packets 0 bytes 0 jump DOCKER-USER
        counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1
        oifname "docker0" ct state related,established counter packets 0 bytes 0 accept
        oifname "docker0" counter packets 0 bytes 0 jump DOCKER
        iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept
        iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
        oifname "docker0" ct state established,related counter packets 184 bytes 27570 accept
        oifname "docker0" ct state established,related counter packets 85 bytes 28483 accept
    }

    chain DOCKER-USER {
        counter packets 534 bytes 178277 return
        tcp dport 8080 drop
        tcp dport 9001 drop
    }

    chain INPUT {
        type filter hook input priority filter; policy drop;
        ct state established,related counter packets 584 bytes 54071 accept
        tcp dport 22 counter packets 8 bytes 460 accept
    }

    chain DOCKER {
        ip daddr 172.17.0.2 iifname != "docker0" oifname "docker0" tcp dport 80 counter packets 0 bytes 0 accept
        ip daddr 172.17.0.3 iifname != "docker0" oifname "docker0" tcp dport 9001 counter packets 0 bytes 0 accept
    }

    chain DOCKER-ISOLATION-STAGE-1 {
        iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2
        counter packets 0 bytes 0 return
    }

    chain DOCKER-ISOLATION-STAGE-2 {
        oifname "docker0" counter packets 0 bytes 0 drop
        counter packets 0 bytes 0 return
    }
}

e ainda não funciona, consigo acessar as portas 8080 e 9001, tentei até reiniciar o servidor.

EDIÇÃO 3:

mudei minha corrente para isso:

chain DOCKER-USER {
    tcp dport 8080 drop
    tcp dport 9001 drop
    return
}

servidor reiniciado e a porta 8080 ainda está acessível

Acabei de criar um novo VPS e configurar o iptables, e vejo isso nos logs:

 IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:94:c9:82:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=16 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

Eu realmente me pergunto o que significam essa fonte 0.0.0.0 e destino 255.255.255.255. Ele envia pacotes como a cada 2 segundos.

Eu sei que o IP 0.0.0.0 é como um loopback (127.0.0.1), mas é acessível para qualquer pessoa de fora. Então eu realmente me pergunto o que poderia ser, é novo VPS com Debian 9 sem nenhum servidor rodando nele.

Então não sei se devo permitir (por motivos de segurança) e qual é a melhor regra para permitir, não existe algum tipo de regra que permita todos esses tipos de endereços de loopback?

Eu tenho um servidor de produção rodando no Debian 9. Eu gostaria de perguntar qual é a maneira segura de gerenciar o servidor MySQL/MariaDB (no servidor de produção).

O servidor MySQL/MariaDB escuta apenas no localhost, porque não quero ser acessível pela internet por motivos de segurança.

Então, se eu quiser que algo mude ou procure algo, tenho que fazer login no servidor MySQL/MariaDB usando cli e escrever consultas SQL. Mas estou cansado disso.

Gostaria de perguntar quais são as possibilidades ou qual a melhor forma de gerenciar o servidor MySQL/MariaDB de forma segura e confortável.

Eu descubro algumas várias soluções, mas não sei se elas estão certas, então eu as escrevo.

Solução 1

Encontre algum tipo de software cli front-end para o servidor MySQL/MariaDB, como o Midnight Commander (sim, eu sei que o Midnight Commander é como um explorador de arquivos, mas tem aquela "GUI feel" mesmo que seja um software cli), mas não sei se esse software existe.

Solução 2

Instale o phpMyAdmin sem apache (usando o parâmetro -S no PHP) para evitar alguns riscos de segurança, bloqueie a porta do phpMyAdmin usando firewall (para não ser acessível pela internet, apenas localhost) e conecte-se ao phpMyAdmin apenas via túnel SSH.

Se você souber de algo melhor, eu ficaria feliz por qualquer conselho.

Se eu criar um servidor OpenVPN em minha máquina Linux, posso me conectar a esse servidor (do Windows) usando um cliente diferente, por exemplo, SoftEther VPN ou cliente VPN integrado no Windows?

Ou eu tenho que usar o cliente OpenVPN?

Imagine que eu tenha 3 regras no iptables:

1. Verifique se o IP está na lista de permissões no ipset e aceite-o.
2. Verifique se o usuário tenta se conectar à porta 22 e, em seguida, solte-a.
3. Verifique se o usuário tenta se conectar à porta 80 e aceite-a.

Este é um exemplo (não real) de regras:

iptables -A INPUT -m set --match-set whitelist src -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Mas eu gostaria de fazer isso se o usuário estiver na lista de permissões (1ª regra), então não o aceite, mas pule/redirecione para a 3ª regra (pule a 2ª regra), como nesta imagem ( eu sei que se o pacote for ACEITO, então está feito, isso é apenas um exemplo, não sei como fazer esse salto ):

Então eu gostaria de perguntar a você, como posso definir esse "pular" em cadeia.

Subquestão: Se for possível, também é possível redirecioná-lo para outra cadeia para uma regra específica?

Atualização: cenário real

iptables -A INPUT -m set --match-set whitelist src -j ACCEPT

iptables -A INPUT -m geoip --src-cc DE -j DROP

... other rules ...

Como você pode ver, eu coloquei na lista de permissões apenas a Alemanha, se o IP do alemão passar pela segunda regra, então vou verificar se há outras regras, mas também uso IPs na lista de permissões.

Portanto, se algum IP estiver na lista de permissões (principalmente não alemão), não quero verificar se é IP alemão (porque falharia), em vez disso, esse IP deve pular para outras regras (3ª linha) e pular a verificação do país.

Que tal ir para a função?

Eu tento adicionar esta regra:

iptables -A INPUT -m geoip ! --src-cc CZ,SK -j DROP

Eu configurei o suporte GeoIP de acordo com esta resposta: Ubuntu IPTables permite permitir apenas 1 país | Superusuário

Mas não funciona, porque recebo a mensagem: iptables:No chain/target/match by that name.

Eu uso o Debian 9.

Atualizar:

Após o resultado após a execuçãouname -a

Linux Andromeda 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 GNU/Linux

Como posso corrigi-lo?

Eu gostaria de perguntar qual é o desempenho do iptables.

Digamos que eu coloque na lista branca e na lista negra alguns endereços IP, eu bloqueio cerca de 10.000 endereços IP, então cada IP é como uma nova regra.

Eu não sei o quão rápido é, porque digamos que alguém me DDoS largura de banda de alguns Gbps, o iptables pode lidar com isso?

CPU: 1 núcleo de Intel ® Xeon® E5-2650L v4

E é possível tornar o iptables mais rápido? Por exemplo, eu "agruparia" todos esses endereços IP em uma regra.

Preciso bloquear cerca de 10.000 endereços IP no meu firewall, tenho todos os endereços IP no arquivo, então executo este comando na linha de comando:

while read line; do sudo ufw insert 1 deny from $line; done < IP_addresses

E funciona, insere regras, mas é muito lento, insere cerca de 1 regra por segundo, é possível deixar mais rápido?

Está rodando no Debian 9 com 1 núcleo de CPU Xeon (VPS).

Eu tenho o servidor Apache2 rodando no Debian 9. E eu tenho 2 configurações de virtualhost na /etc/apache2/sites-enabled/pasta.

Primeiro:

Options FollowSymLinks

<Directory "/srv/">
        Options FollowSymLinks ExecCGI
        Require all granted
</Directory>

<Directory "/srv">
        Options FollowSymlinks ExecCGI
        Require all granted
</Directory>

<VirtualHost *:80>
       ServerName domain.sk
       ServerAlias dev.domain.sk
       DocumentRoot /srv/domain.sk/!www
       <Directory /srv/domain.sk/!www>
                Options Indexes FollowSymlinks ExecCGI
                AllowOverride All
       </Directory>
</VirtualHost>

Segundo:

Options FollowSymLinks

<Directory "/home/test/">
        Options FollowSymLinks ExecCGI
        Require all granted
</Directory>

<VirtualHost *:80>
       ServerName domain.sk
       ServerAlias test.dev.domain.sk
       DocumentRoot /home/test/domain.sk/!www
       <Directory /home/test/domain.sk/!www>
                Options Indexes FollowSymlinks ExecCGI
                AllowOverride All
       </Directory>
</VirtualHost>

O problema é que se eu for até dev.domain.skele está ok , mas se eu for test.dev.domain.skvai mostrar conteúdo de dev.domain.ske não conteúdo de test.dev.domain.sk. Se eu desabilitar a primeira configuração do virtualhost, vejo o conteúdo de test.dev.domain.sk, então parece dev.domain.sk"substituir" isso test.dev.domain.sk, como posso resolvê-lo?

Eu tento instalar o servidor mysql com comandoapt-get install mysql-server mysql-common

Mas a saída é:

Reading package lists... Done
Building dependency tree
Reading state information... Done
mysql-common is already the newest version (5.8+1.0.2).
The following additional packages will be installed:
  default-mysql-server mariadb-client-10.1 mariadb-client-core-10.1
  mariadb-common mariadb-server-10.1 mariadb-server-core-10.1
Suggested packages:
  mariadb-test netcat-openbsd tinyca
The following NEW packages will be installed:
  default-mysql-server mariadb-client-10.1 mariadb-client-core-10.1
  mariadb-common mariadb-server-10.1 mariadb-server-core-10.1 mysql-server
0 upgraded, 7 newly installed, 0 to remove and 0 not upgraded.
Need to get 18.8 MB/18.8 MB of archives.
After this operation, 169 MB of additional disk space will be used.
Do you want to continue? [Y/n]

Como você pode ver, ele não instalará o servidor mysql, mas o mariadb-server-10.1 por quê?

Eu quero mysql não mariadb.

Lista de fontes:

deb http://ftp.fr.debian.org/debian/ stretch main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ stretch main contrib non-free

# Security
deb http://security.debian.org/ stretch/updates main contrib non-free
deb-src http://security.debian.org/ stretch/updates main contrib non-free

# Backports
deb http://ftp.debian.org/debian/ stretch-backports main contrib non-free

Eu tenho um servidor dedicado que se conecta a um webhosting para enviar um e-mail usando o protocolo SMTP, mas recebo erros 554 5.7.1 e 221 2.7.0 e o e-mail não é enviado. O log SMTP completo está abaixo.

Este é um script para envio de e-mails escrito em Perl:

    my $mail = "mail.bellakabelky.sk";
    my $pass = "secret";
    my $user = "mail\@bellakabelky.sk";
    my $to = "tomsk.slovak\@gmail.com";

    use Data::Dumper;
    use Net::SMTP;
    use Mail::Mailer qw(sendmail);

    my $smtp = Net::SMTP->new(
                       Host => $mail,
                       Port => '25',
                       Hello => 'dev.bellakabelky.sk',
                       Timeout => 30,
                       Debug   => 1,
                      );
    print Dumper($smtp);
    $smtp->auth($user,$pass);
    $smtp->mail($user);
    $smtp->to($to);
    $smtp->recipient($to);
    $smtp->data();
    $smtp->datasend("To: Tomsk <$to>\r\n");
    $smtp->datasend("From: Mail <$user>\r\n");
    $smtp->datasend("Return-Path: $user\r\n");
    $smtp->datasend("Reply-To: $user\r\n");
    $smtp->datasend("Subject: Subject\r\n");
    $smtp->datasend("\r\n");
    $smtp->datasend("hello");
    $smtp->dataend();
    $smtp->quit;

E recebo 554 5.7.1 e 221 2.7.0 erros. Este é um log do SMTP:

Net::SMTP>>> Net::SMTP(2.33)
Net::SMTP>>>   Net::Cmd(2.30)
Net::SMTP>>>     Exporter(5.71)
Net::SMTP>>>   IO::Socket::INET(1.35)
Net::SMTP>>>     IO::Socket(1.38)
Net::SMTP>>>       IO::Handle(1.35)
Net::SMTP=GLOB(0x51d1810)<<< 220 mail4-1.hostmaster.sk ESMTP Postfix
Net::SMTP=GLOB(0x51d1810)>>> EHLO dev.bellakabelky.sk
Net::SMTP=GLOB(0x51d1810)<<< 250-mail4-1.hostmaster.sk
Net::SMTP=GLOB(0x51d1810)<<< 250-PIPELINING
Net::SMTP=GLOB(0x51d1810)<<< 250-SIZE 104857600
Net::SMTP=GLOB(0x51d1810)<<< 250-ETRN
Net::SMTP=GLOB(0x51d1810)<<< 250-STARTTLS
Net::SMTP=GLOB(0x51d1810)<<< 250-AUTH PLAIN LOGIN
Net::SMTP=GLOB(0x51d1810)<<< 250-AUTH=PLAIN LOGIN
Net::SMTP=GLOB(0x51d1810)<<< 250-ENHANCEDSTATUSCODES
Net::SMTP=GLOB(0x51d1810)<<< 250 8BITMIME
$VAR1 = bless( \*Symbol::GEN1, 'Net::SMTP' );
Net::SMTP=GLOB(0x51d1810)>>> AUTH PLAIN bWFpbEBiZWxsYWthYmVsa3kuc2sAbWFpbEBiZWxsYWthYmVsa3kuc2sARXNob3AxMjNrYWJlbGt5
Net::SMTP=GLOB(0x51d1810)<<< 235 2.7.0 Authentication successful
Net::SMTP=GLOB(0x51d1810)>>> MAIL FROM:<[email protected]>
Net::SMTP=GLOB(0x51d1810)<<< 250 2.1.0 Ok
Net::SMTP=GLOB(0x51d1810)>>> RCPT TO:<[email protected]>
Net::SMTP=GLOB(0x51d1810)<<< 554 5.7.1 <[email protected]>: Sender address rejected: Your mail account ([email protected]) was compromised. Please change your password immediately after next login and contact technical support.
Net::SMTP=GLOB(0x51d1810)>>> RCPT TO:<[email protected]>
Net::SMTP=GLOB(0x51d1810)<<< 554 5.7.1 <[email protected]>: Sender address rejected: Your mail account ([email protected]) was compromised. Please change your password immediately after next login and contact technical support.
Net::SMTP=GLOB(0x51d1810)>>> DATA
Net::SMTP=GLOB(0x51d1810)<<< 554 5.5.1 Error: no valid recipients
Net::SMTP=GLOB(0x51d1810)>>> To: Tomsk <[email protected]>
Net::SMTP=GLOB(0x51d1810)>>> From: Mail <[email protected]>
Net::SMTP=GLOB(0x51d1810)>>> Return-Path: [email protected]
Net::SMTP=GLOB(0x51d1810)>>> Reply-To: [email protected]
Net::SMTP=GLOB(0x51d1810)>>> Subject: Subject
Net::SMTP=GLOB(0x51d1810)>>>
Net::SMTP=GLOB(0x51d1810)>>> hello
Net::SMTP=GLOB(0x51d1810)>>> .
Net::SMTP=GLOB(0x51d1810)<<< 221 2.7.0 Error: I can break rules, too. Goodbye.
Net::SMTP=GLOB(0x51d1810)>>> QUIT
Net::SMTP: Unexpected EOF on command channel at (eval 187) line 49.

Eu realmente não sei, onde pode estar um problema, eu estava procurando solução, mas não encontrei nada.