Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-09-02 11:20:11

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Eliminacja w logu czesci pakietow objetych prefixem.

Witam wszystkich.

Mam regole iptables:

Kod:

iptables -I INPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

W wyniku jej dzialania 99 % zzuconych do pliku loga stanowia pakiety z adresem "127.0.0.1" czyli local.
Poniewaz najciekawsze jest wlasnie ten 1% to jak skonfigurowac powyzsza regole, zeby odrzucala te 99% lokalnych a zapisywala jedynie ten 1 % "najciekawszych" ?

Pozdro.

Ostatnio edytowany przez Novi-cjusz (2018-09-02 22:27:09)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#2  2018-09-02 13:35:50

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Pierwszą daj regułę wszysko accept z adresów 127.0.0.0/8 czyli puli lokalnej (wewnętrznej dla systemu operacyjnego), a logowanie w drugiej.
Powinno radykalnie pomóc.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2018-09-02 13:43:32

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Zacząłbym od zapoznania się ze słownikiem ortograficznym języka polskiego. W następnej kolejności wpisałbym magiczne zaklęcie brzmiące "man itables", szukając słowa interface. Jeśli tego byłoby za mało, przeczytałbym rozdział traktujący o dopasowaniach do adresów ip, oraz następny o negacjach.
Po tym wszystkim nie musiałbym zadawać durnych pytań.
Aha, zanim zaczniesz tupać nogami i płakać że ethanak nie chce Ci pomóc - jak przeczytasz jeszcze raz tego posta to znajdziesz co najmniej dwie odpowiedzi na swoje żale.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#4  2018-09-02 15:51:39

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Eliminacja w logu czesci pakietow objetych prefixem.

@ Jacekalex

Tak zrobilem:

Kod:

iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

W iptables.log sie zmienilo i tak teraz wyglada:

Kod:

DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24735 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443381] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24736 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443396] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24737 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443419] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=192.168.0.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=2257 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443436] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24738 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443452] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24739 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:26 robin-desktop kernel: [21707.059345] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59280 DF PROTO=UDP SPT=36360 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.060479] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59281 DF PROTO=UDP SPT=50227 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.070700] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59283 DF PROTO=UDP SPT=59371 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.071815] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59284 DF PROTO=UDP SPT=37527 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.095382] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59289 DF PROTO=UDP SPT=46321 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.096738] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59290 DF PROTO=UDP SPT=42215 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.107388] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59292 DF PROTO=UDP SPT=55242 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.108440] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59293 DF PROTO=UDP SPT=39542 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.138702] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59300 DF PROTO=UDP SPT=34115 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.139719] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59301 DF PROTO=UDP SPT=43885 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.150168] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59303 DF PROTO=UDP SPT=33419 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.151484] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59304 DF PROTO=UDP SPT=53306 DPT=53 LEN=33

W dalszym ciagu nie "odfiltrowywuje" pakietow z "ciekawymi" adresami  z powodzi lokalnego trafficu.

Ostatnio edytowany przez Novi-cjusz (2018-09-02 15:52:41)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#5  2018-09-02 17:18:02

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Kolejność reguł ma znaczenie.
Ważne też jest, ktore cele kończą a ktore nie kończzą przetwarzania pakietu przez netfiltera.

pokaż cały wynik:

Kod:

iptables -S

Względnie w regule można wykluczyć klasę adresów:

Kod:

iptables -I INPUT ! -s 127.0.0.0/8  -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

Chociaż takie rozwiązanie to już lamerstwo i kapitulacja wobec sensownej konfiguracji netfiltera.

Ostatnio edytowany przez Jacekalex (2018-09-02 17:21:27)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2018-09-02 17:19:24

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Kod:

iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix indrop
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -f -j DROP
-A OUTPUT -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix outdrop
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

O wykluczaniu klasy adresow tez juz myslalem, ale to rzeczywiscie bylaby smutna koniecznosc.
Iptables daje tyle wariantow, ze z pewnoscia istnieje lepsze rozwiazanie.
Na razie nie mam pomyslu.

Ps. Tak w ogole jak przy ww zestawie regol, dam na poczatku DROP w polityce domyslnej, to odcinam sie od sieci, dlaczego ?
W takim rozwiazaniu firewall bylby bardziej restrykcyjny.

Ostatnio edytowany przez Novi-cjusz (2018-09-02 18:18:38)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#7  2018-09-02 19:43:28

  Novi-cjusz - Użytkownik

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Eliminacja w logu czesci pakietow objetych prefixem.

@Jacekalex
Bardzo jestem ciekaw Twojej opini nt takiej regoly:

Kod:

iptables -I INPUT ! -s localhost  -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

Czyli caly traffic z wyjatkiem pochodzacego z lokalnego hosta

Ostatnio edytowany przez Novi-cjusz (2018-09-02 19:45:09)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#8  2018-09-03 15:45:12

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Eliminacja w logu czesci pakietow objetych prefixem.

@Jacekalex - możesz mi wyjaśnić jakoś tak poglądowo, dlaczego wykluczenie interfejsu lo jest lamerstwem (szczególnie w kontekście nieznajomości następnych reguł?)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]

Offline

 

#9  2018-09-03 16:04:18

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Eliminacja w logu czesci pakietow objetych prefixem.

[quote=ethanak]@Jacekalex - możesz mi wyjaśnić jakoś tak poglądowo, dlaczego wykluczenie interfejsu lo jest lamerstwem (szczególnie w kontekście nieznajomości następnych reguł?)[/quote]
Wykluczenie interfejsu lamerstwem nie jest.

Pod warunkiem, że używa się nazwy interfejsu albo klasy adresowej tego interfejsu.

Lamerstwo polega na tym, że się pokazuje i ocenia jedną regulę a nie całość FW, który zakłada hierarchię reguł i dodatkowo zawiera cele które kończą lub nie kończą przetwarzanie pakietu.

Fachowo raz wpuszczone przez lo pakiety nie powinny po zastosowaniu ACCEPT przetwarzane przez kolejne reguły  w tablicy filter, ale bez całości FW nie da się stwierdzić, co tam się naprawdę dzieje.

Jak pisałem posta #5 to całego FW tutaj jeszcze nie było.

Proponowanie składni reguly FW bez znajomości całej tablicy FW to jest gdybologia totalna.
xD

Ostatnio edytowany przez Jacekalex (2018-09-03 16:09:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.012 seconds, 13 queries executed ]

Informacje debugowania

Time (s) Query
0.00014 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00147 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.137.180.62' WHERE u.id=1
0.00088 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.137.180.62', 1732215869)
0.00044 SELECT * FROM punbb_online WHERE logged<1732215569
0.00069 DELETE FROM punbb_online WHERE ident='3.137.159.17'
0.00079 DELETE FROM punbb_online WHERE ident='3.139.72.152'
0.00061 DELETE FROM punbb_online WHERE ident='3.17.75.138'
0.00063 DELETE FROM punbb_online WHERE ident='57.141.0.23'
0.00084 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30611 AND t.moved_to IS NULL
0.00008 SELECT search_for, replace_with FROM punbb_censoring
0.00155 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30611 ORDER BY p.id LIMIT 0,25
0.00091 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30611
Total query time: 0.00908 s