вторник, 28 октября 2014 г.


ISPmanager, пропала страница-заглушка об отключении юзера - валиться просто forbidden. А у нас есть красивая страничка-заглушка, объясняющая что нам надо денежку платить.
Фиксим:


Include /usr/local/ispmgr/etc/ispmgr.inc
<Directory /var/www/mgrtest/data/www/mgrtest.isp>
Options -ExecCGI -Includes
php_admin_value open_basedir "/var/www/mgrtest/data:."
php_admin_flag engine on
</Directory>

воскресенье, 26 октября 2014 г.

iptables -s


Случайно узнал о дичайше полезном ключике iptables -S
Выводит правило в том виде, в котором мы его вносим в фаерволл.
Наконец смогу нормально удалять правила.

воскресенье, 12 октября 2014 г.

понедельник, 5 мая 2014 г.

Защищаем DNS от мини-ddos


Недавно стали DDoS-ить DNS сервер. Некий школьнику своего домена alexcoolshow.ru указал наши DNS, соответственно пришли боты и стали дёргать сервера.
Немного сложности добавляло то, что один запрос вида alexcoolshow, другой AlExCoOlShOw, третий еще как-нибудь играется с регистрами букв.
По умолчанию модуль strings в iptables не умеет работать с регистром, но есть ключик --icase.

Пример правил:

iptables -A INPUT -p tcp -m multiport --dport 53,993 -m string --string 'alexcool' --algo bm --icase -j DROP

iptables -A INPUT -p udp -m multiport --dport 53,993 -m string --string 'alexcool' --algo bm --icase -j DROP


Запрещаем все запросы к DNS (порты 53 и 993), имеющие запрос вида alexcool, независимо от регистра букв. Нагрузка на процессоры  незаметна, в отличие от постоянного дерганья nameserver.