среда, 22 апреля 2020 г.

Закрываем доступ к терминальному серверу с помощью iptables

По данным на конец марта, с февраля количество RDP-серверов в интернете выросло на 9-21%. То есть, людей выгнали на удаленку и пооткрывали доступ через инет. И все бы ничего, но при этом также активизировались боты, сканируещие интернет на предмет таких серверов и пытающихся брутфорсом пробраться на сервер. Хорошего мало, поскольку делов наделать могут даже и правами пользователя, а если уж с админскими правами влезут - туши свет, сливай масло.

Ну и я в один прекрасный день обнаружил на сервере постоянный аудит отказа.

iptables log в altlinux server p8 и p9

Краткая инструкция о том, как настроить логирование пакетов в iptables


Дано - сервер на AltLinux с sysV, платформа p8 (проверено и на p9).
Настройка syslog-ng

в любом месте (подходим разумно!) вписываем примерно такое

## правила iptables
destination iptables { file("/var/log/iptables/iptables.log"); };
filter f_iptables { message("^(\\[.*\..*\] |)Iptables:.*"); };
log { source(sys); filter(f_iptables); destination(iptables); };

Что мы здесь описываем?