Forum Debian Users Gang

poczytaj o psad

Miej logi i patrzaj w logi.

Do analizy ruchu sieciowego możesz użyć np tcpdumpa czy  snorta - oba działają w konsoli.

Na wikibooks masz instrukcję do netfiltera po polsku.

Ostatnio edytowany przez Jacekalex (2014-01-02 19:54:34)

@Chmuri @Redelek

Namawiacie do Psada i CSF.
To są nakładki na iptables, które rzekomo mają coś ułatwiać.

Zgodzę się, ze np CSF może ułatwić pracę komuś, kto Iptables zna lepiej, niż własnego wacka.

Ale jak ktoś tego iptables nie zna, to przez takie nakładki jest 3 razy więcej roboty, niż bezpośrednio w samym iptables.

Powód jest taki, że w Iptables mamy pełną swobodę konfiguracji włącznie z xtables-addons i ipsetem, natomiast każda nakładka automatyczna ustawia ten firewall wg koncepcji autora nakładki, ładuje czasem setkę reguł, które diabli wiedzą, co robią, i w dodatku trzeba sporo czasu, wysiłku i doświadczenia, żeby wyczaić, co potem się w takich regułach dzieje.

Jedyny panel do administrowania firewallem, który nie robi zbyt dużego burdelu, bo samoczynnie nie miesza w regułach, to jest moduł Linux-firewall z Webmina.
Używając go mamy obcięte możliwości iptables tylko o jakieś 65%. ;)

Takie moduły, jak hashlimit i recent w ogóle są dostępne tylko w powłoce, i są morderczo skuteczne.

Może np ktoś ustawi w CSF albo Ufw, czy może Psadem albo Webminem taką tablicę raw:

iptables -t raw -S
-P PREROUTING ACCEPT
-P OUTPUT ACCEPT
-N limitPPS
-A PREROUTING -p tcp -m multiport ! --sports 80,443 -m set --match-set sblamdrop src -j STEAL
-A PREROUTING -p tcp -m multiport ! --sports 80,443 -m set --match-set spamhaus src -j STEAL
-A PREROUTING ! -i lo -m set --match-set snort src -j STEAL
-A PREROUTING -p tcp -m multiport ! --sports 80,443 -m set --match-set peerblock src -j STEAL
-A PREROUTING -f -p udp -j STEAL
-A OUTPUT -p tcp -m multiport ! --dports 80,443 -m set --match-set sblamdrop dst -j STEAL
-A OUTPUT -p tcp -m multiport ! --dports 80,443 -m set --match-set spamhaus dst -j STEAL
-A OUTPUT -p tcp -m multiport ! --dports 80,443 -m set --match-set peerblock dst -j STEAL
-A limitPPS -m hashlimit --hashlimit  80/sec --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name limitPPS -j ACCEPT
-A limitPPS -j STEAL

Wiecie w ogóle, do czego są poszczególne reguły? :DDD

Albo może ktoś rzuci okiem na to:
http://forum.dug.net.pl/viewtopic.php?id=9735

Ostatnio edytowany przez Jacekalex (2014-01-02 22:51:04)

Na razie sobie ogarniam całą podstawę iptables, co jak gdzie ;p
Z jakichkolwiek nakładek na razie rezygnuje.

Ostatnio edytowany przez najsu (2014-01-03 00:05:49)

Mam problem.
Przykładowo polecenie:

iptables -I INPUT -p udp -m connlimit --connlimit-above 3 --destination-port 9987 -j DROP

Wyrzuca błąd:

iptables: No chain/target/match by that name.

Szukałem trochę i dowiedziałem się, że może to być sprawka kernela, a dokładniej braku konkretnych modułów. Tak właśnie u mnie jest:
[b]uname -a[/b]

Linux gM53 2.6.32-042stab083.2 #1 SMP Fri Nov 8 18:08:40 MSK 2013 i686 GNU/Linux

[b]lsmod[/b]

Module                  Size  Used by

Chciałem zaktualizować kernela, tylko problem jest taki, że jest to serwer VPS więc tego zrobić nie mogę (poprawcie mnie jeśli się mylę). Na razie napisałem do supportu, jakieś rady? Dzięki z góry.

@edit
Przy próbie załadowania modułu:
[b]modprobe ipt_connlimit[/b]

libkmod: ERROR ../libkmod/libkmod.c:554 kmod_search_moddep: could not open moddep file '/lib/modules/2.6.32-042stab083.2/modules.dep.bin'

Ostatnio edytowany przez najsu (2014-01-04 17:38:36)

Zgadza się wirtualizacja to OpenVZ, tani VPS, stoi tutaj tylko mały, prywatny serwer TS3 dla mnie i znajomych. Myślałem, że trochę się na nim pouczę zagadnień sieciowych, a widzę że ciężko. Może support coś zdziała, poza tym raczej nic nie da się zrobić?

Mam raspberry pi i postanowiłem, że to na tym cacku się pouczę :P
Dzięki za wszystko, jeśli ktoś ma jeszcze jakieś rady co do firewalla, ogólnie zabezpieczeń, jak to dobrze napisać, co uwzględnić, to chętnie przyjmę.