보호해야 할 데비안 VPS가 있습니다. 서버가 ssh 및 openvpn을 통해서만 액세스하도록하고 싶습니다. 연결되면 제한이 적용되지 않습니다. 또한 스캐너와 서버에 대한 핑을 차단하십시오. iptables 명령 세트가 붙어 있기 때문에 도움이 필요합니다. 현재 iptables는 다음과 같습니다.
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1194 -j ACCEPT
iptables -P OUTPUT DROP
연결되면 인터넷을 검색 할 수 있습니다. 또한 시스템에서 전자 메일을 보낼 수 있기를 원합니다. dns 요청.
답변
다음과 같은 대부분의 요구 사항이 명확합니다.
- 데비안 VPS는 이메일을 보낼 수 있어야합니다
- 데비안 VPS는 DNS 서버를 쿼리 할 수 있어야합니다
- 데비안 VPS에서 스캐너를 차단
- 컴퓨터가 VPS에 대한 SSH 세션을 설정할 수 있어야합니다
- 컴퓨터가 VPS에 대한 openVPN 세션을 설정할 수 있어야합니다
“연결되면 인터넷을 검색 할 수 있습니다”라는 것이 확실하지 않습니다. 그래도 가정이 있습니다. 😉
이메일을 보내
이메일을 보내는 데 사용할 프로토콜에 따라 해당 포트를 엽니 다 (예 : TCP 포트 25 또는 TCP 포트 587; 아래 예에서는 25를 사용합니다).
iptables -I OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
그런 다음 원격 메일 서버에서 들어오는 리턴 트래픽을 허용해야합니다.
iptables -I INPUT -p tcp -m tcp --sport 25 -j ACCEPT
또는 더 나은 :
iptables -I INPUT -p tcp -m state --state ESTABLISHED,RELATED --sport 25 -j ACCEPT
(데비안 VPS가 설정 한 연결에서 모든 tcp가 포트 25에서 트래픽을 반환하도록 허용).
DNS 쿼리
이것은 이메일을 보내는 것과 매우 유사합니다 :
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p udp -m state --state ESTABLISHED,RELATED --sport 53 -j ACCEPT
SSH 및 openVPN
이것은 당신이 이미 구성한 것입니다
인터넷을하다
나는 당신이 원한다고 가정합니다
- openVPN을 통해 데비안 VPS에 연결
- 데비안 VPS를 통해 인터넷을 탐색
- 집에있는 PC가 데비안 VPS 인 것처럼 보이도록 (공용 IP 주소로)
그래서 당신은
데비안 VPS에서 커널 포워딩을 활성화하십시오 :
$ sudo sysctl -w net.ipv4.ip_forward=1
그리고 추가적으로
$ sudo nano /etc/sysctl.conf
주석 처리되지 않은 #
(앞에 없는 ) 줄이 있는지 확인하십시오.
net.ipv4.ip_forward=1
iptables 전달 활성화
또한 iptables에서 전달을 활성화하려고합니다. tun
장치를 사용하는 브리징 모드가 아닌 장치를 사용하여 라우팅 모드에서 openVPN을 사용하고 tap
IP 주소 범위로 10.8.0.0/24 (openVPN의 기본값)를 사용한다고 가정합니다.
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -o eth0 -i tun+ -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
스캐너 차단
스캐너는 보통 1194, 80, 22, 1194와 같이 자주 사용되는 포트를 확인합니다. 따라서 저는 개인적으로 다른 포트를 사용하고 싶습니다. 이 수퍼 유저 게시물에서 다른 방법 을 사용 atd
하여 원격 데비안 VPS에서 자신을 잠그지 않도록 하는 방법 에 대해 썼습니다 . 요컨대, 당신은 할 수 있습니다
- 서로 다른 포트에서 SSH와 openVPN을 각각 사용하십시오.
- 요청시 포트 노킹을 사용하여 포트 열기