GitHub - camptocamp/puppet-iptables
The way it works differs slightly from the usual puppet resource types. The state of a firewall can be seen as the sum of all the rules that compose it and the order in which they appear. We could define a firewall as one unique puppet resource, but this doesn't offer much flexibility. It's much more convenient to define each iptable rule as a separate resource. But then, ensuring they always get
ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする : DSAS開発者の部屋
KLab はコンテンツの開発と共に運用も日々担っていますが,その活動の全ての拠点は社内のシステムです.そのため,社のシステムにはいつでも外からアクセスできる必要があります.システムへのアクセスは ssh を使うのですが,この ssh へのアクセスは前記の理由で世界中からアクセスできる必要があります.こういった公開されている ssh のポートへは日々飽きもせずに brute force アタックが繰り返されています.sshd はこのような成功するはずのないアタックであっても律儀にログを出力してくれます.しかしながら,無意味なログの羅列は,重要なログが埋もれる結果になって嬉しくありません.それに,アタックによるログインの試行のために CPU 時間を無駄に費やすのもばかばかしいことです. ログの出力や CPU 時間の浪費を低減するには,これらの攻撃パケットをフィルタリングしてやればいいのですが,
ビビり症のあなたに送るiptables hacks - 日向夏特殊応援部隊
さて、全国1億5千万人のiptablesビビリ症の皆さん、お元気でしょうか。 最近食あたりになって酷い目にあったid:ZIGOROuです。 iptablesの設定をミスってデータセンターまで行くハメになった事とかありませんか? 僕は昨日見事に自宅サーバーをダウンさせました>< そんな苦い思いをしないように、以下の対策を思いついてみました。 +が抜けてたので追記しました。(2007-12-20T15:22:57+09:00) # echo "/etc/init.d/iptables restart" | at now + 3minutesこれを設定反映シェルスクリプトの末尾につけておくだけで、万が一の場合でもsaveしていない限りは復帰出来るはずです。 これは西尾三兄弟として知られる長兄(id:n_shuyo)に聞いた内容をヒントにしました。 西尾三兄弟について知りたい方はお近くのラボメンバ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
