Автор Тема: [iptables] Има ли начин да блокирам сканирането на портове?  (Прочетена 9901 пъти)

dvasilev

  • Напреднали
  • *****
  • Публикации: 200
  • Distribution: Kubuntu, Debian
  • Window Manager: KDE
    • Профил
    • WWW
@freedj: Както казаха и други, това което го искаш няма как да стане. Просто го приеми.
Нещо, което обаче може да направиш допълнително е да се мъчиш да отгатнеш дали SYN пакетите са от сканираща програма. При по-глупавите опити за сканиране, е характерно, че от един и същ адрес идват доста SYN пакети и ако техния брой за единица време мина над някакъв праг, може да започнеш да ги филтрираш. Ако се интересуваш как може да направиш такова нещо виж тук. Лошата новина за теб е, че на nmap може да му се указва време между отделните опити и мисля, че всеки, който не иска да се набива на очи, би разредил времето между тестването на отделните портове.
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Благодаря ви. Приех, че няма да стане затова просто филтрирах повечето портове а други ги затворих от външни мрежи.

П.П
Един оделен въпрос, може би трябва нова тема, дано модераторите не ми се сърдят. Има ли начин с iptables когато примерно някой ме удря със SYN флууд да го записва в отделен лог. Сега записва в syslog, но това малко не ме устройва, има ли възможност?
Активен

Linux is the LIFE!

laskov

  • Напреднали
  • *****
  • Публикации: 3167
    • Профил
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

chen_dzen

  • Напреднали
  • *****
  • Публикации: 623
  • Distribution: Debian 6.0 Squeeze
  • Window Manager: GNOME
    • Профил
Как искаш на WAN interface да ти дава че имаш отворени портове . Трябва да ги пренасочиш към вътрешен хост или да си пуснал Remote Managment на рутера . А и някои доставчици филтрират портове .
 
П.С IPTABLES няма как да разбере SYN пакета истински ли е или от скенер . Още повече ,че nmap има опция -stealth  ;)
« Последна редакция: Aug 31, 2010, 16:41 от chen_dzen »
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Премирих се вече, че неможе. За втория ми въпрос има ли шанс?
Активен

Linux is the LIFE!

p3tzata_

  • Напреднали
  • *****
  • Публикации: 210
  • Distribution: Fedora
  • Window Manager: KDE
    • Профил
Премирих се вече, че неможе. За втория ми въпрос има ли шанс?

laskov ти отговори на въпроса, остава само да го прочетеш...
Активен

Никое ДОБРО не води до ДОБРО и никое ЗЛО не води до ЗЛО.

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Не ме разбрахте по-главния въпрос в темата се оправих имах един страничен който гласи:

1. Има ли начин с iptables когато примерно някой ме удря със SYN флууд да го записва в отделен лог. Сега записва в syslog, но това малко не ме устройва, има ли възможност?
Активен

Linux is the LIFE!

laskov

  • Напреднали
  • *****
  • Публикации: 3167
    • Профил
Цитат
iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25  -m recent --name bad_smtp --rcheck --seconds 60 -j DROP
iptables -A INPUT -p tcp -s X.X.X.0/24 --syn --dport 25  -m recent --name bad_smtp --set -j ACCEPT
Тези два реда правят следното:
1. Идва SYN пакет от някакъв IP адрес към нашия 25-ти порт. iptables проверява в списъка bad_smtp дали през последните 60 секунди от това IP е бил получен такъв пакет и ако да, DROP-ва пакета
2. Ако не, пропуска пакета и постава IP-то в списъка bad_smtp

Разбира се, за твоите цели ще трябва да го редактираш. Трябва да имаш компилиран модула recent.

Моля някой ако реши, да го обясни по-добре. Ако държиш на лог файла, копни тук syslog.conf и 1-2 от тези редове от syslog.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Пак не ме разбра, сложил съм защити от SYN и темподобни в момента логвам атаките по следния начин:
Код:
iptables -A syn-flood -m limit --limit 1/sec -j LOG --log-prefix "SYN FLOOD " --log-tcp-sequence --log-tcp-options --log-ip-options --log-level 4

И те се логват в:
Код:
/var/log/iptables.log

Мисълта ми беше дали примерно има начин да се логват в друг файл с име:
Код:
/var/log/synflood.log
Активен

Linux is the LIFE!

laskov

  • Напреднали
  • *****
  • Публикации: 3167
    • Профил
man iptables
Цитат
   LOG
       Turn on kernel logging of matching packets.  When this option is set for a rule,  the  Linux
       kernel  will print some information on all matching packets (like most IP header fields) via
       the kernel log (where it can be read with dmesg or syslogd(8)).  This is a  "non-terminating
       target",  i.e. rule traversal continues at the next rule.  So if you want to LOG the packets
       you refuse, use two separate rules with the same matching criteria, first using  target  LOG
       then DROP (or REJECT).

       --log-level level
              Level of logging (numeric or see syslog.conf(5)).
и обърни внимание на последния ред от цитата.

ПС: Какво ще правиш после с този файл?
« Последна редакция: Sep 01, 2010, 12:25 от laskov »
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Добре задавам в /etc/syslog.conf
Код:
syn.flood                       /var/log/synflood.log
Тогава какъв левал, ще трябва да се запише при правилото?
Активен

Linux is the LIFE!

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 5147 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 5071 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 6118 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 6054 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 4829 Последна публикация May 03, 2003, 17:00
от