Настройка Iptables не запускается Bash конфиг вручную
rootkit 10 ноября, 2015 - 23:30
Здрасти! У меня есть конфиг с настройками для Iptables от ддос атак. Вот содержимое:
Я делаю файл исполняемым вот так:
chmod +x ec.sh
update-rc.d ec.sh defaults
Получаю положительный ответ.
Далее пытаюсь запустить файл вручную... На что получаю:
-bash: ./ec: /bin/bash^M: bad interpreter: No such file or directory
Похожие по принципу работы файлы (например на запуск приложения) обрабатываются без проблем.
Что я делаю не так, чего не понимаю? Помогите плс, нужно срочно настроить защиту от ДДоС!
»
- Для комментирования войдите или зарегистрируйтесь
Не надо в винде скрипты
Не надо в винде скрипты писать! :)
И пробел убери:
#!/bin/bashСпасибо
Спасибо огромное!
root@empty:/etc/init.d# sh ./ec.ok
libkmod: ERROR ../libkmod/libkmod.c:554 kmod_search_moddep: could not open modde p file '/lib/modules/3.14.32-xxxx-grs-ipv6-64/modules.dep.bin'
libkmod: ERROR ../libkmod/libkmod.c:554 kmod_search_moddep: could not open modde p file '/lib/modules/3.14.32-xxxx-grs-ipv6-64/modules.dep.bin'
./ec.ok: line 129: COMMIT: command not found
Bad argument `–syn'
Вот что теперь...
У меня только такой путь... /lib/modprobe.d/aliases.conf а этого /lib/modules/3.14.32-xxxx-grs-ipv6-64 нету.
Я на Дебиане сейчас. Подскажите просто какие шаги выполнить чтобы пошло всё. Насколько критично отсутствие модулей? Может я могу их установить? Что на 129 строке не так?
неправильно
1. Неправильно собрано/установлено ядро.
2. 129 - все! выкинь.
P.S. Eсли чистый Дебиан - то лучше и спрашивай у них, поскольку может быть своя специфика пакетов.
Если мне правильно объяснили,
Если мне правильно объяснили, проблема в ядре. Нет поддержки нужных модулей.
Есть кто может пересобрать ядро Дебиана с поддержкой двух модулей для iptables?
/
По аналогии с зависимостями той же коробки в гентушечке, полагаю будет правильным сначала поискать их в каком-нибудь пакете.
Не умножайте ереси.
:wq
--
Live free or die
Если ты в Дебиане, то ничего
Если ты в Дебиане, то ничего пересобирать не нужно!!!
Все работает из коробки, не верь таким советчикам.
Возможно только надо нужные модули загрузить (читай про
modinfo/modprobe).Убери из файла виндовые
Убери из файла виндовые переводы строки. Например, сохранив в редакторе с соотв. опцией.
Или вручную из шелла:
cat ec.sh | tr -d '\r' > ec_ok.sh
Ну и раз уж форум про Gentoo, то его нужно класть в /etc/local.d/, добавив расширение .start, тогда он выполнится один раз при старте системы.
rootkit написал(а): конфиг с
В боевых условиях испытан?
Так он же еще не запустился! :)
Так он же еще не запустился! :)
Не, не работает. Скрипт-киддс
Не, не работает. Скрипт-киддс онли, и то с одного компа ;)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
sspphheerraa
Ты серьезно веришь в iptables от ddos? :)
Ну почему нет? На малых
Ну почему нет? На малых интенсивностях атак (т.е. существенно меньше пропускной способности канала) и слабых серверах/сервисах это может помочь, особенно если файевол на отдельной железке. Только надо учитывать, что адреса приходящих пакетов зачастую фиктивные. Так что для локалхоста и "Джо Неуловимых" (С) грамотно сконфигурированное решение на базе iptables вполне подойдет! ;)
Потом можно еще син-прокси добавить... тоже выделенный... и т.д. пока не дорастешь до (очень) дорогих железок и прямых контактов с оператором (например, мы им давали несколько правил для их магистральных маршрутизаторов, которые они активировали по команде нашего дежурного админа).
А на серьезных атаках (был личный опыт до 30Гбит/с целевой атаки на наш сервис) бывало даже провайдеры ложились... :)
SysA написал(а): Ну почему
Ну так це и есть скрипт-киддс с перлом или swaks.
Для таких умников давно уже есть более вменяемые решение ( тот же фастнетмон), чем апстолы и прогон всего траффика через слабую железку в виде кипятильника на киловатт.
Всегда интересно, что люди считают ддосом ? :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Элементарно же!
Элементарно же! По определению: все, что делает сервис недоступным для легального пользователя, - отключение/авария питания, например, тоже ДоС, хотя и не ДДоС! ;)
Несбалансированность количества легальных пользователей с ресурсами серверов тоже зачастую приводят к настоящему ДДоСу, например, если все гентушники планеты попытаются одновременно посмотреть http://www.gentoo.ru/, то я более чем уверен, что он умрет от ДДоСа! :) И таки да - никакие iptables тут не помогут!
Просто "вдогонку"
Для дополнительных мер рекомендую старый добрый fail2ban:
net-analyzer/fail2ban
Доступные версии: 0.9.2 (~)0.9.2-r1 (~)0.9.3 **99999999 {selinux systemd PYTHON_SINGLE_TARGET="pypy python2_7 python3_3 python3_4" PYTHON_TARGETS="pypy python2_7 python3_3 python3_4"}
Домашняя страница: http://www.fail2ban.org/
Описание: scans log files and bans IPs that show malicious signs
Простая, как молоток. Жрать не просит, конфиги понятные, рабортает надёжно...
emerge Your world
Gentoogle
Ага, только от DDoS'а уж
Ага, только от DDoS'а уж никак не защищает! :)
От слова совсем!!..
В тех местах, где практикует
В тех местах, где практикует Гудвин - защищает. Спутниковый инет, деревянные циски, прикрученные к стенке, 100 мб канала на область .....
Такие дела, да.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Да он нигде не защитит, если
Да он нигде не защитит! Eсли я весь канал (хоть 1 кбит/с, хоть 40 гбит/с) забью SYN-пакетами или еще чем-нибудь, то дропать уже поздно! :)
Ситуации, где
iptablesеще работают, я уже описал тут. В тех же ситуациях можно и банить, если хочешь...