Изпечатай

[dilyan]

Привет,
моля за съвет, къде съм сбъркал при следните iptables правила, с тривиалната цел да режат повече от 3 опита за ssh автентификации:

# Create SSH attack chains
iptables -N SSH_CHECK
# Capture SSH connections
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
# Define SSH_CHECK chain
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j REJECT

логовете показват, че правилата не работя, опити има през 3 секунди:

Dec 25 01:05:25 freenas sshd[49332]: Failed password for root from 111.74.134.216 port 52436 ssh2
Dec 25 01:05:27 freenas sshd[49334]: Failed password for root from 111.74.134.216 port 52711 ssh2
Dec 25 01:05:30 freenas sshd[49336]: Failed password for root from 111.74.134.216 port 53024 ssh2
Dec 25 01:05:33 freenas sshd[49338]: Failed password for root from 111.74.134.216 port 53330 ssh2
Dec 25 01:05:36 freenas sshd[49340]: Failed password for root from 111.74.134.216 port 53571 ssh2
Dec 25 01:05:39 freenas sshd[49342]: Failed password for root from 111.74.134.216 port 53843 ssh2
Dec 25 01:05:41 freenas sshd[49344]: Failed password for root from 111.74.134.216 port 54083 ssh2
Dec 25 01:05:44 freenas sshd[49346]: Failed password for root from 111.74.134.216 port 54358 ssh2
Dec 25 01:05:47 freenas sshd[49348]: Failed password for root from 111.74.134.216 port 54666 ssh2
Dec 25 01:05:50 freenas sshd[49350]: Failed password for root from 111.74.134.216 port 54953 ssh2

Каква е тая мода да си сменят атакуващия порта при всеки опит?

ползвам openwrt на рутера на входа на мрежата ми, там модула recent се инсталира допълнително, освен нещо да не работи? Пускането на правилата не дава грешка; логове не съм пускал. че рутера е с малко памет и няма място

[romeo_ninov]

...
Каква е тая мода да си сменят атакуващия порта при всеки опит?
...

От скоро има такава тенденция. Преслушват за ssh на портове, различни от стандартните

[petar258]

Може би защото не си посочил порт. Това е работещ пример:

iptables -N SSH_WHITELIST

iptables -A SSH_WHITELIST -s TRUSTED_HOST_IP -m recent --remove --name SSH -j ACCEPT     - това само в случай че искаш да предпазиш някой адрес, иначе няма нужда от тази команда

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 10 --hitcount 3 --rttl --name SSH -j DROP

ако смениш порта на ssh да не е 22 а някой друг, по-малко ще те тормозят
и ако е в комплект с fail2ban още по-добре

[dilyan]

ами аз порта 22 съм го указал с реда

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK

когато го вкарвам в SSH_CHECK таблицата .... както и да е, ще го пробвам, не разбирам много от iptables.

[Astor]

dilyan, openwrt си има допълнителни вериги и правила към тях, зададени по подразбиране. Видя ли последователността на въпросните правила и дали твоите не са в по-заден ред и изобщо да не влизат в сила?
Ако например изчистиш временно всички правила и изтриеш всички вериги, след което добавиш твоите правила, тогава отново ли не сработват?

[dilyan]

да, вярно е, че са написали доста вериги, но нали аз правя правила в INPUT веригата, която е "първична"? къде да ги сложа че винаги да минават пакетите, ако не в инпут?

не мога да си позволя да сваля файъруола, че има доста нат правила (авто генерирани от опенврт), ще спууфна доставчика, а не мога да ги пресъздам ръчно всичките правила.