Поиск
Показаны результаты для тегов 'ufw'.
Найдено 3 результата
-
Всем привет. Для начала рекомендую ознакомиться с недавней статьей по общей безопасности сервера. Но сегодня мы разберем немного конкретных действий для работы с Marzban. 1. Использование UFW на Мэйн сервере. Здесь нет ничего сложного, но я написал для вас скрипт: bash <(wget -qO- https://dignezzz.github.io/marzban/ufw_main.sh) Что он делает? 0. Установит UFW 1. Определяет SSH порт 2. Определяет порты ваших подключений, которые используются в xray_core 3. Определяет порт панели, который используется в .env 4. Открывает стандартные порты взаимодействия панели и сервера: 62050 и 62051 5. Запретит все входящие и разрешит все исходящие соединения 2. Использование UFW на Node сервере. Я также доработал скрипт для установки на узле. bash <(wget -qO- https://dignezzz.github.io/marzban/ufw_node.sh) Что он делает? 0. Установит UFW 1. Определит SSH порт и откроет его 2. Откроет стандартные порты 62050 и 62051 3. Если вы использовали мой вариант мульти-ноды, то откроет и порты 5001-5010, 6001-6010 4. Запретит все входящие и разрешит все исходящие соединения 3. Пояснения 1. Я не рекомендую ограничивать подключение Узла (ноды) к мэйн серверу, на жесткую указывая IP мэйн-сервера для взаимодействия с конкретным портом. С одной стороны это да - безопасно очень. С другой стороны это будет выдавать ошибки Time Out когда вы через клиент-приложение будете пинговать на скорость ваши сервера. 2. Обязательно устанавливайте Fail2Ban 3. Обязательно используйте SSH-ключи и отключайте использование паролей для авторизации.
-
Вы пытаетесь максимально замаскировать свой VPN или proxy? Тогда вам наверняка необходимо убрать определение туннеля (двусторонний пинг). Перейдём к ознакомлению: В гайде повествуется об отключении определения туннеля на OC Linux и Windows. Запускаем ssh, переходим на сервер и логинимся под root пользователем Переходим к редактированию настроек ufw c помощью nano: nano /etc/ufw/before.rules Добавляем новую строку и сохраняем результат: # ok icmp codes -A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP -A ufw-before-input -p icmp --icmp-type source-quench -j DROP -A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP -A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP -A ufw-before-input -p icmp --icmp-type echo-request -j DROP 4. Перезапускаем фаервол ufw ufw disable && ufw enable 5. Сервер больше не должен отправлять ICMP трафик, а значит вам удалось скрыть двусторонний пинг!
-
Всем привет Периодически получаю запросы на помощь, как открыть доступ к контейнеру после установки UFW-Docker. Ведь если его не ставить, то все контейнеры по умолчанию обходят правила UFW. Про его установку я писал здесь: Для начала хочется отметить важный момент, принцип работы ufw-docker: Заблокировано всё что не открыто. Дополнительно про работу с ufw-docker я писал здесь: Теперь поговорим про входящий и исходящий трафик. Для того, чтобы разрешить как входящий, так и исходящий трафик для контейнеров Docker с использованием ufw-docker, выполните следующие шаги: 1. Установите и настройте ufw-docker, следуя инструкциям 2. Откройте порты, необходимые для работы ваших контейнеров. Например, если вам нужно открыть порт 80 для работы веб-приложения, выполните следующую команду: sudo ufw allow 80/tcp 3. Разрешите входящий и исходящий трафик для Docker (вместо docker0 нужно указать имя контейнера, полученное из команды docker ps, например, wg-easy).: sudo ufw allow in on docker0 && sudo ufw allow out on docker0 4. Проверьте правила ufw: sudo ufw status numbered В результате вы должны увидеть правила, похожие на следующие: