Чтобы на сервере закрытом iptables заработал пассивный режим на ФТП-сервере надо:
В /etc/sysconfig/iptables-config добавить модуль:
Рестартим:
Конечно среди правил iptables должно быть подобное:
Иногда, при повышенной сетевой нагрузке из-за большого количества соединений происходит превышение лимита на conntrack соединения. При этом в системном логе появляются сообщения:
Посмотрим какое ограничение у нас прописано сейчас:
И сколько физически используется сейчас:
Решением этой проблемы является увеличение данного лимита:
Не лишне данный параметр записать в sysctl.conf
Применяется первое правило удовлетворяющее критерию. Для действий ACCEPT, DROP, REJECT обработка правил приостанавливается.
Примеры правил:
Посмотреть полный список всех актуальных правил:
ставить в конец цепочки правило блокирующее трафик с IP
вставить первым разрешающее правило для подсети
разрешить весь входящий трафик по loopback
пример исп-я указания протокола (tcp,udp,icmp,all), адреса назначения, порта источника/назначения
разрешить входящие подключения на веб-сервер
разрешить трафик по уже установленным соединениям
разрешаем входящие эхо-запросы
удаляем правило по критерю
Листинг правил с номерами:
удаляем правило по номеру (нумеруются с 1, цепочку надо указывать)
листинг всех правил во всех цепочках без резолва
листинг правил из цепочки
очистка всех правил
очистка правил в цепочке
добавление новой цепочки
удаление заданной цепочки
Политика по умолчанию для цепочки INPUT устанавливается в ACCEPT
На 5 минут будет установлена блокировка ip-адреса подбирающего пароли к sshd через 3 попытки .
