К слову, я ICMP вообще не трогаю, только нюхаю ICMP пакет с определенным размером tcpdump -n -c1 -i any icmp[icmptype] == icmp-echo and ip[2:2] == $PACKAGE_SIZE
Я ж не утверждаю, что это прям продакшн решение, просто поделился идеей. Вот есть у меня VDSка за 300 руб/мес и цепляюсь я к ней раз в неделю, предлагаете нестандартный порт юзать - не люблю я эти извращения, потом попробуй разберись на какой тачке какой порт SSH и вешать на каждый узел по VPN-серверу
Вы знаете IP-адреса моих серверов, чтобы открыть их? Скрыть порты, а не защитить! Не вижу принципиальной разницы: натить трафик или вешать публичный IP на хост, например: мой домашний провайдер натит (1:1) трафик со своего внешнего адрес на мой серый IP.
2021 год, я воюю с тех поддержкой — SSH рвется через 4 минуты бездействия, тех поддержка рекомендует проверить кабель, поменять роутер и прочую ерунду…
Так же можно сказать, что я всегда хожу по прямой, а объекты окружающие меня меняют свое положение в пространстве… И кстати, я не падаю, это асфальт подымается)))
Почему я юзаю OpenVPN? Потому, что готовлю его так, как мне нравится — udp hole punching через NAT и прочие извращения ))) и 1,5 мс задержки не так важны…
Могу предположить, что к мобильному банку было привязано 2 номера (СИМ-карты), второй старый, который получил злоумышленник… Но опять же как злоумышленник узнал номер карты или логин? Или имея базу данных с номерами телефонов и карт, можно проверить наличие (уже освободившихся) номеров в любом салоне сотовой связи…
Причина по которой я отказался от кредки (а мне так усердно её предлагали), плюс карту в банке выдают без конверта (уже скомпрометированную), а потом предлагают застраховать карту… Совпадение?!
Вы что?! Нельзя использовать PortKnocker, используйте VPN, Nginx... и вообще желательно отключить фаервол)))
Да, так и есть)))
Извините, если мой велосипед Вас задел!)))
К слову, я ICMP вообще не трогаю, только нюхаю ICMP пакет с определенным размером
tcpdump -n -c1 -i any icmp[icmptype] == icmp-echo and ip[2:2] == $PACKAGE_SIZEА я и не заставляю
Я ж не утверждаю, что это прям продакшн решение, просто поделился идеей.
Вот есть у меня VDSка за 300 руб/мес и цепляюсь я к ней раз в неделю, предлагаете нестандартный порт юзать - не люблю я эти извращения, потом попробуй разберись на какой тачке какой порт SSH и вешать на каждый узел по VPN-серверу
Конечно лучше, 443 порт как пример указал
Спасибо за идею, следующий этап: от простого к сложному)))
Вы знаете IP-адреса моих серверов, чтобы открыть их? Скрыть порты, а не защитить! Не вижу принципиальной разницы: натить трафик или вешать публичный IP на хост, например: мой домашний провайдер натит (1:1) трафик со своего внешнего адрес на мой серый IP.
Так проще:
apt install ./dnsmasq-base_2.60-2_i386.debМой конфиг ip6tables
Generated by ip6tables-save v1.8.7 on Sun Mar 20 13:15:40 2022
*filter:INPUT ACCEPT [39:3287]
:FORWARD DROP [83:8632]
:OUTPUT ACCEPT [39:3726]
-A INPUT -i he-ipv6 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i he-ipv6 -p icmpv6 -j ACCEPT
-A INPUT -i he-ipv6 -j DROP
-A FORWARD -i enp0s3 -o he-ipv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o enp0s3 -p icmpv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o enp0s3 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s4 -o he-ipv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o enp0s4 -p icmpv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o enp0s4 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp0s5 -o he-ipv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o enp0s5 -p icmpv6 -j ACCEPT
-A FORWARD -i he-ipv6 -o enp0s5 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Completed on Sun Mar 20 13:15:40 2022В Linux?
Что-то у меня все как-то по-другому...