Forum Debian Users Gang

czarny30 · 2009-10-13 01:16:39

Witam moze moje pytanie jest tendencyjne bo wiem jak zabezpieczyc serwer lecz denerwuje mnie to ze za kazdym razem musze wpisywac ip ktore sie laduje na moj serwer.
Zazwyczaj sa to ip z chin jak stworzyc sobie liste np w osobnym pliku z zakresami ip zeby w moim firewalu przez iptables blokowac te ip z osobnego pliku.
I jaki zakres ip wpisac dla tych chin bo juz mnie to zaczyna denerwowac. Moj firewal teraz wyglada jak ksiega ip a nie jak firewal bo caly plik to iptables .........ip -j DROP
Moze macie jakies ciekawe proste rozwiazania.

bercik · 2009-10-13 16:36:07

Kod:

while read ip; do iptables .... $ip ..... -j DROP; done < plik_z_blokowanymi_adresami_IP

czarny30 · 2009-10-14 01:07:08

[quote=bercik]

Kod:

while read ip; do iptables .... $ip ..... -j DROP; done < plik_z_blokowanymi_adresami_IP

[/quote]
nie dziala to co podales.

bercik · 2009-10-14 01:44:22

dodaje regulki i one nie dzialaja czy tez zwraca jakis blad przy samym wywolaniu?

(rozumiem ze uzupelniles .... odpowiednia skladnia iptables i wstawiles w odpowiednim miejscu skryptu firewalla ...)

gielo · 2009-10-14 16:25:33

Włącz sobie także filtrację tzw. adresów bogon jako że często ataki nie są przeprowadzane z fizycznie istniejących ip.

czarny30 · 2009-10-15 21:38:53

dodaje uruchamia sie ale nie dziala wstawilem ip kolegi i on moze sie laczyc z moim serwerem bez problemu

bercik · 2009-10-15 22:31:20

a wstawiles w odpowiednim miejscu ... przeanalizuj/pokaz moze wynik iptables -L -n

czarny30 · 2009-10-16 01:53:25

ok prosze jeszcze podaj mi cala skladnie jak to ma wygladac bez kropek bo moze ja tam cos zle wpisuje

bo ja wpisuje tak

while read ip; do iptables -A INPUT -s $ip -j DROP; done < plik_z_blokowanymi_adresami_IP

Czy cos jeszcze dopisuje po $ip?

bercik · 2009-10-16 14:40:30

to wyglada ok, jest jeszcze kwestia w ktorym miejscu masz to wstawione (iptables jest wrazliwe na kolejnosc regol) ... dlatego prosilem o wyik iptables -L -n

siarka2107 · 2009-10-17 21:20:12

Może po prostu użyj geoip z xtables-addons([url=http://people.netfilter.org/acidfu/geoip/howto/]1[/url] i [url=http://xtables-addons.sourceforge.net/]2[/url]) albo coś od firmy MAXMIND([url=http://nfsec.pl/techblog/56]1[/url] i [url=http://geolite.maxmind.com/download/geoip/]2[/url]). Ja użyłbym pierwszego rozwiązania, drugie musisz jeszcze oskryptować.

czarny30 · 2009-10-22 00:59:55

[quote=bercik]to wyglada ok, jest jeszcze kwestia w ktorym miejscu masz to wstawione (iptables jest wrazliwe na kolejnosc regol) ... dlatego prosilem o wyik iptables -L -n[/quote]
Mam tak

Kod:

#!/bin/sh

# interfejsy
LO_IFACE="lo"
WAN_IFACE="eth1"
LAN_IFACE="eth0"
WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`

#adresy IP
LO_IP="127.0.0.1"


# Å›cieÅ¼ka do iptables
IPTABLES="/usr/sbin/iptables"

# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Ochrona przed atakiem typu Smurf
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Limitowanie sesji tcp
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
echo "0" > /proc/sys/net/ipv4/tcp_sack
echo "20" > /proc/sys/net/ipv4/ipfrag_time
echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog

# TCP timestamps protection
echo "1" > /proc/sys/net/ipv4/tcp_timestamps

# Ignore redirected packets
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects

# uruchomienie przekazywania pakietow IP miedzy interfejsami
echo "1" > /proc/sys/net/ipv4/ip_forward

# uniemoÅ¼liwia udostepnianie netu dalej
echo "1" > /proc/sys/net/ipv4/ip_default_ttl
#$IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1
# czyszczenie regul
iptables -F
iptables -t nat -F
iptables -t mangle -F


iptables -X
iptables -t nat -X
iptables -t mangle -X

#iptables -F -t nat
#iptables -X -t nat
#iptables -F -t filter
#iptables -X -t filter

# ustawienie polityk na DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i ${LO_IFACE} -j ACCEPT
iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT

#blokowanie ip
while read ip; do iptables -A INPUT -s $ip -j DROP; done < blok_ip

I nie działa

bercik · 2009-10-22 11:00:14

1. lepiej podac pelna sciezke do blok_ip
2. jaka zawartosc ma ten plik
3. tutaj widac co powinno byc ... a 'iptables -L -n' pokazuje co jest ...

Jacekalex · 2009-10-25 20:58:48

Witam

Wielkim ekspertem nie jestem - ale kiedy kombinowałem z patch-o-matic-ng - to tam był moduł geoip do firewalla.
http://people.netfilter.org/peejix/geoip/howto/geoip-HOWTO.html

Natomiast Fali2ban jest niezły - lecz zżera moc obliczeniową procka - której na ogół trochę brakuje.
Radzę ssh i inne "delikatne" usługi - które mają być ukryte- przenieść na inne porty, do tego kilka reguł z użyciem [b]ipt_recent[/b] - analogicznie do sposobu na ssh z FAQ - lecz nie dla samego ssh - ale do zakresu portów - najlepiej wszystkich - z wyjątkiem http.

Lista adresów IP ze skryptu trochę niepraktyczne - kilka tysięcy pozycji - wtedy firewall ma trochę za dużo sprawdzania - inaczej trwa sprawdzanie 200 reguł - inaczej 5000 reguł.
Analogicznie do failbana - obciążenie procka.

Lepiej zrób osobny łańcuch do usługi smtp - i wrzuć do niego RBL ze spamhausu - nie jest zbyt ogromna - za to oszczędza masę roboty serwerowi smtp (sprawdzanie RBL) - http://www.spamhaus.org/faq/answers.lasso?section=DROP%20FAQ

Dla HTTP - jeśli masz apacha - to jest moduł security - który można spiąć z firewallem przez httpd-guardian,
jeśli nginx lub lighthttpd - to też możesz pokombinować z firewallem ( [b]limit[/b], [b]ACCOUNT[/b], itp)

Do tego - ewentulanie - na skanery portów[b] ipt_TARPIT[/b] (też z p-o-m) - i powinno być ok.

Pozdr.

Ostatnio edytowany przez Jacekalex (2009-10-25 21:46:16)

Time (s)	Query
0.00013	SET CHARSET latin2
0.00005	SET NAMES latin2
0.00192	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.140.196.5' WHERE u.id=1
0.00142	UPDATE punbb_online SET logged=1732261025 WHERE ident='3.140.196.5'
0.00071	SELECT * FROM punbb_online WHERE logged<1732260725
0.00119	SELECT topic_id FROM punbb_posts WHERE id=131184
0.00008	SELECT id FROM punbb_posts WHERE topic_id=15195 ORDER BY posted
0.00160	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=15195 AND t.moved_to IS NULL
0.00008	SELECT search_for, replace_with FROM punbb_censoring
0.00479	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=15195 ORDER BY p.id LIMIT 0,25
0.00156	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=15195
Total query time: 0.01353 s

Forum Debian Users Gang

Ogłoszenie

#1 2009-10-13 01:16:39

czarny30 - Użytkownik

włamania z chin jak zabezpieczyc serwer

#2 2009-10-13 16:36:07

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

Kod:

#3 2009-10-14 01:07:08

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

Kod:

#4 2009-10-14 01:44:22

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#5 2009-10-14 16:25:33

gielo - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

#6 2009-10-15 21:38:53

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

#7 2009-10-15 22:31:20

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#8 2009-10-16 01:53:25

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

#9 2009-10-16 14:40:30

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#10 2009-10-17 21:20:12

siarka2107 - Użyszkodnik DUG

Re: włamania z chin jak zabezpieczyc serwer

#11 2009-10-22 00:59:55

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

Kod:

#12 2009-10-22 11:00:14

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#13 2009-10-25 20:58:48

Jacekalex - Podobno człowiek...;)

Re: włamania z chin jak zabezpieczyc serwer

Stopka forum

Informacje debugowania