Автор Тема: къде съм сбъркал при следните iptables правила?  (Прочетена 1804 пъти)

dilyan

  • Участник
  • *****
  • Публикации: 186
  • Distribution: Debian, OpenBSD
  • Window Manager: Gnome, xfce
    • Профил
Привет,
моля за съвет, къде съм сбъркал при следните iptables правила, с тривиалната цел да режат повече от 3 опита за ssh автентификации:

# Create SSH attack chains
iptables -N SSH_CHECK
# Capture SSH connections
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
# Define SSH_CHECK chain
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j REJECT

логовете показват, че правилата не работя, опити има през 3 секунди:

Dec 25 01:05:25 freenas sshd[49332]: Failed password for root from 111.74.134.216 port 52436 ssh2
Dec 25 01:05:27 freenas sshd[49334]: Failed password for root from 111.74.134.216 port 52711 ssh2
Dec 25 01:05:30 freenas sshd[49336]: Failed password for root from 111.74.134.216 port 53024 ssh2
Dec 25 01:05:33 freenas sshd[49338]: Failed password for root from 111.74.134.216 port 53330 ssh2
Dec 25 01:05:36 freenas sshd[49340]: Failed password for root from 111.74.134.216 port 53571 ssh2
Dec 25 01:05:39 freenas sshd[49342]: Failed password for root from 111.74.134.216 port 53843 ssh2
Dec 25 01:05:41 freenas sshd[49344]: Failed password for root from 111.74.134.216 port 54083 ssh2
Dec 25 01:05:44 freenas sshd[49346]: Failed password for root from 111.74.134.216 port 54358 ssh2
Dec 25 01:05:47 freenas sshd[49348]: Failed password for root from 111.74.134.216 port 54666 ssh2
Dec 25 01:05:50 freenas sshd[49350]: Failed password for root from 111.74.134.216 port 54953 ssh2

Каква е тая мода да си сменят атакуващия порта при всеки опит?

ползвам openwrt на рутера на входа на мрежата ми, там модула recent се инсталира допълнително, освен нещо да не работи? Пускането на правилата не дава грешка; логове не съм пускал. че рутера е с малко памет и няма място :(
Активен

romeo_ninov

  • Участник
  • *****
  • Публикации: 2155
    • Профил
...
Каква е тая мода да си сменят атакуващия порта при всеки опит?
...
От скоро има такава тенденция. Преслушват за ssh на портове, различни от стандартните
Активен

0x2B|~0x2B

petar258

  • Участник
  • *****
  • Публикации: 339
  • Distribution: Ubuntu-mate 16.04, Windows 7
    • Профил
Може би защото не си посочил порт. Това е работещ пример:

iptables -N SSH_WHITELIST

iptables -A SSH_WHITELIST -s TRUSTED_HOST_IP -m recent --remove --name SSH -j ACCEPT     - това само в случай че искаш да предпазиш някой адрес, иначе няма нужда от тази команда

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 3 --rttl --name SSH -j DROP

ако смениш порта на ssh да не е 22 а някой друг, по-малко ще те тормозят
и ако е в комплект с fail2ban още по-добре
Активен

dilyan

  • Участник
  • *****
  • Публикации: 186
  • Distribution: Debian, OpenBSD
  • Window Manager: Gnome, xfce
    • Профил
ами аз порта 22 съм го указал с реда

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK

когато го вкарвам в SSH_CHECK таблицата .... както и да е, ще го пробвам, не разбирам много от iptables.
Активен

Astor

  • Участник
  • *****
  • Публикации: 332
    • Профил
dilyan, openwrt си има допълнителни вериги и правила към тях, зададени по подразбиране. Видя ли последователността на въпросните правила и дали твоите не са в по-заден ред и изобщо да не влизат в сила?
Ако например изчистиш временно всички правила и изтриеш всички вериги, след което добавиш твоите правила, тогава отново ли не сработват?
Активен

Няма начин, да няма начин!

dilyan

  • Участник
  • *****
  • Публикации: 186
  • Distribution: Debian, OpenBSD
  • Window Manager: Gnome, xfce
    • Профил
да, вярно е, че са написали доста вериги, но нали аз правя правила в INPUT веригата, която е "първична"? къде да ги сложа че винаги да минават пакетите, ако не в инпут?

не мога да си позволя да сваля файъруола, че има доста нат правила (авто генерирани от опенврт), ще спууфна доставчика, а не мога да ги пресъздам ръчно всичките правила.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Iptables
Настройка на програми
mozly 1 2252 Последна публикация Dec 10, 2002, 23:48
от Vency
iptables
Настройка на програми
sunhater 3 1786 Последна публикация Apr 23, 2003, 15:02
от sunhater
iptables
Настройка на програми
dumdum 4 2239 Последна публикация Apr 30, 2003, 10:40
от dumdum
IPTABLES
Настройка на програми
achird 2 2427 Последна публикация May 20, 2003, 14:14
от achird
iptables
Настройка на програми
dumdum 2 1659 Последна публикация May 03, 2003, 17:00
от