iptables

TTL (Time To Live) — это восьмибитное поле в IP-заголовке, определяющее максимальное количество «хопов» (узлов), которые пакет может пройти до того, как будет отброшен. При прохождении через любой маршрутизатор значение TTL уменьшается на 1.

Типичные значения TTL по умолчанию

Разные операционные системы используют разные начальные значения. Это позволяет удаленно определить тип ОС (OS Fingerprinting).

Зачем менять TTL? Паттерны использования

1. Обход ограничений тетеринга (раздачи интернета)

Самый частый сценарий. Мобильные операторы анализируют входящий трафик.

В этой инструкции разберём, как поднять OpenVPN-сервер на Ubuntu и подключить к нему роутер Keenetic. Такой сценарий удобен, если нужно дать доступ к домашней сети или пробросить сервисы (например, PBX или веб-сервер) через VPN.

1. Подготовка Ubuntu-сервера

1.1 Установка пакетов

sudo apt update
sudo apt install -y openvpn easy-rsa iptables-persistent

1.2 Создание PKI (Easy-RSA v3)

make-cadir ~/easy-rsa
cd ~/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass

Серверные ключи

./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

Клиентские ключи (для Keenetic)

./easyrsa gen-req keenetic nopass
./easyrsa sign-req client keenetic

TLS-ключ (именно tls-auth, а не tls-crypt)

openvpn --genkey secret ta.key

1.3 Разложить ключи

• В /etc/openvpn/server/:

  Читать далее

Введение: Первая линия обороны вашего сервера

Прежде чем думать о сложных системах обнаружения вторжений, таких как Fail2ban или CrowdSec, необходимо выстроить первую и самую надёжную линию обороны — брандмауэр (firewall). Брандмауэр контролирует весь сетевой трафик, входящий и исходящий с вашего сервера, и блокирует несанкционированные попытки подключения.

В Linux для управления брандмауэром традиционно использовался iptables, но его синтаксис может быть сложным и запутанным. К счастью, существует более простой и интуитивно понятный инструмент — UFW (Uncomplicated Firewall).

Введение: Защита сервера — первая линия обороны

После развертывания любого сервера или виртуальной машины одним из первых и наиболее важных шагов является обеспечение его безопасности. Даже если ваш сервер не содержит критически важных данных, он может стать целью для автоматических ботов, которые постоянно сканируют интернет в поисках уязвимостей. Самой распространенной атакой на любой сервер является перебор паролей (brute-force) для SSH-доступа, FTP-сервисов или веб-панелей управления.

Для борьбы с этой угрозой существует множество инструментов, и одним из самых известных, простых и эффективных является Fail2ban.

Введение: Скрытая проблема с сетью

Разработчики и системные администраторы, использующие серверы на платформе OpenStack (например, тарифные линейки C*-M*-D* у хостинг-провайдера reg.ru), иногда сталкиваются с загадочными сетевыми проблемами. Кажется, что интернет работает, но при попытке передать большие объемы данных или установить соединение с определенными сервисами, запросы могут зависать или обрываться по таймауту.

Провайдер объясняет эту проблему особенностями своей инфраструктуры:

Серверы на платформе OpenStack используют технологию VxLAN, которая резервирует 50 байт для служебной информации. Из-за этого максимальный размер единицы передачи данных (MTU) на основном сетевом интерфейсе сервера (ens3) составляет 1450 байт.

Читать далее