Титла: iptables -- само BG IP към sshd
Публикувано от: HEMABPEME в Nov 25, 2005, 20:44
от доста време като погледна /var/log/messages се пълни с:
.....................................................................................
Nov 25 16:11:28 sshd[12532]: Failed password for invalid user sys from 64.207.204.14 port 37696 ssh2
Nov 25 16:11:31 sshd[12535]: Invalid user zzz from 64.207.204.14
Nov 25 16:11:31 sshd[12535]: Address 64.207.204.14 maps to 64-207-204-14.ips.mynethost.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Nov 25 16:11:31 sshd[12535]: Failed password for invalid user zzz from 64.207.204.14 port 37770 ssh2
Nov 25 16:11:32 sshd[12538]: Invalid user frank from 64.207.204.14
Nov 25 16:11:32 sshd[12538]: Address 64.207.204.14 maps to 64-207-204-14.ips.mynethost.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
..............................................................
пробвам да огранича достапа до ssh само за IPта от BG по следния начин ...
#! /bin/sh
for IP in `cat /root/bgpeers` ; do
/usr/sbin/iptables -A INPUT -i ethX -p tcp --dport 22 -s ! "$IP" -j REJECT
done
като в bgpeers е актуалното състояние на БГ мрежите взето от BGPview от cisbg.com (от interbgc.com и spnet.net) и powernet.bg (от evro.net)
при изпълнение на горното спира всичко на порт 22 на ethX
а при:
/usr/sbin/iptables -A INPUT -i ethX -p tcp --dport 22 -s ! 192.168.0.0/24 -j REJECT
всичко си е наред обаче допуска единствено локалната мрежа ?!?!?!
каде бъркам ако може да подскаже някой
slackware 2.4.31 iptables v1.3.3
.....................................................................................
Nov 25 16:11:28 sshd[12532]: Failed password for invalid user sys from 64.207.204.14 port 37696 ssh2
Nov 25 16:11:31 sshd[12535]: Invalid user zzz from 64.207.204.14
Nov 25 16:11:31 sshd[12535]: Address 64.207.204.14 maps to 64-207-204-14.ips.mynethost.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Nov 25 16:11:31 sshd[12535]: Failed password for invalid user zzz from 64.207.204.14 port 37770 ssh2
Nov 25 16:11:32 sshd[12538]: Invalid user frank from 64.207.204.14
Nov 25 16:11:32 sshd[12538]: Address 64.207.204.14 maps to 64-207-204-14.ips.mynethost.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
..............................................................
пробвам да огранича достапа до ssh само за IPта от BG по следния начин ...
#! /bin/sh
for IP in `cat /root/bgpeers` ; do
/usr/sbin/iptables -A INPUT -i ethX -p tcp --dport 22 -s ! "$IP" -j REJECT
done
като в bgpeers е актуалното състояние на БГ мрежите взето от BGPview от cisbg.com (от interbgc.com и spnet.net) и powernet.bg (от evro.net)
при изпълнение на горното спира всичко на порт 22 на ethX
а при:
/usr/sbin/iptables -A INPUT -i ethX -p tcp --dport 22 -s ! 192.168.0.0/24 -j REJECT
всичко си е наред обаче допуска единствено локалната мрежа ?!?!?!
каде бъркам ако може да подскаже някой
slackware 2.4.31 iptables v1.3.3
Титла: iptables -- само BG IP към sshd
Публикувано от: sys7em в Nov 25, 2005, 20:55
еми помисли малко .. ти какво правиш всъщност ... ако ипто е бг да прави реджект ..
Титла: iptables -- само BG IP към sshd
Публикувано от: vlad73 в Nov 25, 2005, 23:14
Вземи си премести sshd на някой друг порт (примерно на 2222 вместо 22) и тези записи в /var/log/messages ще престанат без подобни акробатики.
После за връзката:
ssh $IP -p 2222
Иначе с горното постигаш доста интересен ефект - създаваш купчина правила, които гласят, че ако ip-то което се проверява не е от дадена мрежа, то трябва да се отхвърли... тази ефикасност си се получава и само с 2 такива правила - ако първото е ок и пакета се промъкне, то на следващата проверка вече няма шанс да му се размине REJECT-a
После за връзката:
ssh $IP -p 2222
Иначе с горното постигаш доста интересен ефект - създаваш купчина правила, които гласят, че ако ip-то което се проверява не е от дадена мрежа, то трябва да се отхвърли... тази ефикасност си се получава и само с 2 такива правила - ако първото е ок и пакета се промъкне, то на следващата проверка вече няма шанс да му се размине REJECT-a
Титла: iptables -- само BG IP към sshd
Публикувано от: senser в Nov 26, 2005, 10:06
Аз ограничението на ssh (както и разни други) съм го направил през /etc/security/access.conf и си бачка на 6. Но това е за "pam enabled дистрибуции". Доколкото си спомням примерно слак-а не поддържаше pam, а за другите не знам. Но ако дистро-то ти поддържа pam този вариант не е лош (поне според мен 
)
)Титла: iptables -- само BG IP към sshd
Публикувано от: HEMABPEME в Nov 27, 2005, 02:22
след преместване на друг порт сичко е ОК
но все пак никой ли няма идея как може да стане с iptables при условие, че имаме всички(или поне всички) BG IPта ?!?!?!
но все пак никой ли няма идея как може да стане с iptables при условие, че имаме всички(или поне всички) BG IPта ?!?!?!
Титла: iptables -- само BG IP към sshd
Публикувано от: MiCRo в Nov 27, 2005, 02:46
... --dport 22 -s $BGNET1 -j ACCEPT
... --dport 22 -s $BGNET2 -j ACCEPT
... --dport 22 -s $BGNET3 -j ACCEPT
... --dport 22 -s $BGNET4 -j ACCEPT
..........................
........................
... --dport 22 -j DROP
Щото както казваш '!' $BGNET1 -j REJECT, автоматично reject-ваш BGNET2,3 и т.н ....
Мисли наобратно...
... --dport 22 -s $BGNET2 -j ACCEPT
... --dport 22 -s $BGNET3 -j ACCEPT
... --dport 22 -s $BGNET4 -j ACCEPT
..........................
........................
... --dport 22 -j DROP
Щото както казваш '!' $BGNET1 -j REJECT, автоматично reject-ваш BGNET2,3 и т.н ....
Мисли наобратно...
Титла: iptables -- само BG IP към sshd
Публикувано от: HEMABPEME в Nov 27, 2005, 06:39
е точно щото мислия 
на обратно то за тва така стана . . .
#
for BG_IP in `cat /etc/bgpeers` ; do
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -s "$BG_IP" -j ACCEPT
done
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
#
сичко е ОК
10x
на обратно то за тва така стана . . . #
for BG_IP in `cat /etc/bgpeers` ; do
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -s "$BG_IP" -j ACCEPT
done
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
#
сичко е ОК
10x