- 主题:iptables的时代是不是要过去了?
nftables还是有少量对iptables一些细节插件不兼容的地方
比如用udp流量敲门(带一组keywords),iptables指定一段长度就能在其中随意找关键字,nftables好像必须在指定偏移地址找
不过一些常见使用方式,确实nft写起来条目数更少,更简介,倒也是事实
就是在对nft语法不熟的前提下,读nft list ruleset得多花点时间来理解
【 在 DreamDreams 的大作中提到: 】
: 显然是nftables
: 有了GPT,成本其实不高, 问就得了
: 基本概念读一遍wiki, 几分钟的事
: ...................
--
FROM 61.48.132.*
ssh倒还好,毕竟可以很方便的fail2ban拦截,只要没有弱口令,风险也没有很高,脚本小子就是看起来膈应
但一些自建的,不方便通过log来ban的,有个敲门就很方便了
我之前做的在老家看北京IPTV的服务(每年就回去俩月,买当地的显然不划算),没有防护的话,一周内就被脚本小子扫走当自己的IPTV源了,还是换端口的情况;这还是HA手机app发现家里主路由上传带宽被吃完了,否则可能还注意不到
带敲门就安全多了,老家做个cron敲门就行,client每小时敲一次,server端收敲1次开放一天或者一周
【 在 hyoga 的大作中提到: 】
: 还能带keywords敲门?学习了。。。这样看起来就已经很安全了。
: 比如对外暴露ssh,如果可以带keywords敲门,再配合密钥only登录
--
修改:KeepHope FROM 61.48.132.*
FROM 61.48.132.*
看你咋写,给敲成功的ip自动设置timeout不就行了
【 在 JulyClyde 的大作中提到: 】
: 我没用过啊,不知道现在体系怎么样了
: 敲了之后会自动关回去吗?
--
FROM 61.48.132.*
刚好相反
我觉得有顺序才好读好理解
nft命令行列规则,读起来就没那么好理解
也可能是用的太少,不熟练哈
【 在 JulyClyde 的大作中提到: 】
: timeout我不知道啊
: 我总感觉iptables各个规则之间的前后顺序是个很麻烦的事情,会有相互截胡的问题
--
FROM 114.254.3.*