DirectAdmin(DA)增加锁定IP功能(官方iptables规则)

时间:12-02-18 栏目:VPS教程 作者:赵 容 评论:26 点击: 14,073 次

安全是非常沉重的一个话题,当我们面对每天收到的暴力猜解密码的提醒邮件,以及后台看到一堆触目惊心的IP的时候,我们不要在沉默!赵容,作为技术小白加上超级懒人,叫我写个规则,一个个的IP去屏蔽,是一件很无趣的事情,下面,我们一起来看看官方帮助中心给我们的解决方案:给DA后台增加IP锁定功能!

首先,我们来看看我刚刚安装的一个DA后台留下的部分蛋疼的人们的IP信息。

da-iptables

我们该如何让DA管理后台可以很方便的锁定这些IP呢?下面,是来自官方帮助中心的一个方式,适合跟赵容一样不喜欢手动折腾的人们。

首先,下载官方的iptables规则

cd /etc/init.d      #进入目录

mv iptables iptables.backup      #备份原文件

wget http://files1.directadmin.com/services/all/iptables         #下载新iptables文件

chmod 755 iptables        #设置文件权限

然后,重启iptables

/etc/init.d/iptables restart

接着,下载锁定IP脚本程序,设置文件权限

cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/block_ip.sh
wget http://files1.directadmin.com/services/all/show_blocked_ips.sh
wget http://files1.directadmin.com/services/all/unblock_ip.sh
chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh

最后,创建一个清单文本,以便查看被锁定的IP列表

touch /root/blocked_ips.txt
touch /root/exempt_ips.txt

通过以上操作,我们进入DA面板后台,密码暴力猜解监控,点击监控到的IP最后的IP Info,然后在接下来的页面点击隔离该IP就可以了。

如需自动锁定,请继续。

cd /usr/local/directadmin/scripts/custom
wget http://files1.directadmin.com/services/all/brute_force_notice_ip.sh
chmod 700 brute_force_notice_ip.sh

香港/美国/国内高速VPS

声明: 博客仅为分享信息绝非推荐,网站不参与交易绝非中介,内容均仅代表个人观点绝非权威,读者请自行考虑后入手并自担风险!一分钱一分货仍是恒久不变之真理,未成年读者(包括生理和心理)请在监护人陪同下访问本站!本文由( 赵 容 )原创编译,转载请保留链接: DirectAdmin(DA)增加锁定IP功能(官方iptables规则)鄙视无耻复制行为!
关于隐私: 赵容非全职打理博客,所有评论不保证审核时间进度,我有义务保证您的个人信息不经由赵容部落透露给任何第三方,随意或虚假邮箱评论会自动进入垃圾箱无法展示和给您回应.
关于安全: 任何IDC都有倒闭和跑路的可能,出口线路更不可控,月付和备份是您的最佳选择,请保持良好的、有规则的备份习惯.

DirectAdmin(DA)增加锁定IP功能(官方iptables规则):目前有26 条留言

  1. 10楼
    sadsaaa:

    在iptable里添加开放端口方法

    #softether

    $IPTABLES -A INPUT -p tcp –dport 6464 -j ACCEPT
    $IPTABLES -A INPUT -p udp –dport 6464 -j ACCEPT

    /etc/init.d/iptables restart

    2015-05-24 06:48 [回复]
  2. 9楼
    directadmin:

    用的是Capri的主题,按照教程设置完毕后,后台怎么找不到密码暴力猜解监控的选项呢,是主题的问题还是版本问题呢?

    2014-04-20 13:19 [回复]
  3. 我已经搞定了…包括
    修改端口,更新规则,自动屏蔽,修改防火墙…
    如有不懂的朋友可以去我的站点看看…

    PS:蓉妹子,我不是广告…手下留情!

    2013-11-18 22:34 [回复]
  4. 7楼
    阔空晴云:

    貌似DA有问题,一旦禁止某个IP,就没法解禁了,除非自己修改/root/blocked_ips.txt文件,按照官方的说法,当某个IP被block以后,再次进入这个IP的IP Info,出现的应该是unblock按钮,结果经过实践,发现还是block按钮。。。BUG?

    2013-01-04 14:59 [回复]
  5. 6楼
    左手貔貅:

    如果能修改whmcs模块中的的端口就好了。。。。。。

    2012-12-29 21:18 [回复]
  6. 5楼
    keke:

    已经设置了,设置了是不是就会自动阻止别人暴力破解啊,那系统消息就不会出现提示了把,貌似禁止ping个人觉得这样安全很多,不知道有没有其他缺点,还有问一下容哥,如果修改了da登录的2222端口,这个iptables规则还能实现吗?本人小白一个,看着容哥的博客买了第一个vps,也学到了很多。

    2012-12-04 21:30 [回复]
    • 赵 容:

      可以,修改登陆端口后,记得在iptables规则中打开相关端口就行了,否则你自己都访问不到,被拦截了。

      2012-12-04 21:32 [回复]
      • keke:

        ❓ 端口在哪个文件啊,怎么改啊,应该可以直接WinSCP修改把,ssh总感觉不怎么习惯

        2012-12-04 21:35 [回复]
        • 赵 容:

          SSH修改。

          2012-12-04 21:37 [回复]
          • keke:

            能在教程里说一下语句吗? 💡

            2012-12-04 21:38 [回复]
            • 赵 容:

              修改/usr/local/directadmin/conf/directadmin.conf文件中的端口,重启DA

              2012-12-04 21:50 [回复]
              • keke:

                那iptables中又怎么把这个打开那 💡

                2012-12-04 21:53 [回复]
                • 赵 容:

                  请google下iptables基本应用。

                  2012-12-04 21:53 [回复]
                  • keke:

                    好的,谢谢容哥,我先自己研究下 😛

                    2012-12-04 21:54 [回复]
                  • keke:

                    请问容哥用ssh修改文件,修改完后,按哪个键保存 😛

                    2012-12-04 22:30 [回复]
                  • keke:

                    刚用WinSCP找到/usr/local/directadmin/conf/directadmin.conf,搜索2222随便修改了个数字,后台打不开了,在iptables没打开这个端口,我感觉这样也挺好的,干脆就直接关闭后台登录,到时自己要登录时在改回2222就可以了,不知道这样行不行,会不会有什么问题,这样应该安全多,省的别人暴力破解,而且网站貌似可以正常打开。 😛

                    2012-12-04 22:36 [回复]
  7. 4楼
    tommy:

    請教一下我使用了官方的iptables後 FTP下載、上載、更改名稱4XX個文件左右就會block了我的IP
    有沒有方法解決 ❓ 謝謝 😥 😮

    2012-10-15 15:07 [回复]
    • 赵 容:

      这个你需要先弄清你触发了哪一条规则,才能去修改这条规则的。

      2012-10-15 15:22 [回复]
    • tommy:

      不好意思 我對iptables一點也不懂 😥 可否提議從那裡入手 😥

      2012-10-15 15:27 [回复]
  8. 地板
    a:

    把iptable 停止了 就可以恢复ping了。 荣哥给个思路 😛

    2012-08-06 21:11 [回复]
    • 赵 容:

      那你可以不使用这个规则,或者修改这个规则中的禁止ping的部分就可以了。
      删除
      $IPTABLES -A INPUT -p icmp -j DROP
      $IPTABLES -A INPUT -p all -j DROP

      2012-08-06 21:50 [回复]
  9. 板凳
    a:

    按照这个设置了。 DA现在ping不通了。。荣哥知道哪里出问题了吗

    2012-08-06 21:04 [回复]
    • 赵 容:

      这个规则本身,已经加入了禁止ping的功能,使用规则后不能ping,是正常的。

      2012-08-06 21:06 [回复]
      • keke:

        我感觉禁止ping挺好的,这样就可以相对隐藏了自己的IP,不知道这样有什么缺点吗

        2012-12-01 03:33 [回复]
        • icebin:

          太牛B了 请问 禁止PING 能隐藏IP ???

          2013-04-24 13:54 [回复]
  10. 沙发
    an9:

    收藏了. :mrgreen:

    2012-03-12 21:36 [回复]

发表评论


海星云主机

广而告之