Forum Debian Users Gang

czarny30 · 2009-10-13 01:16:39

Witam moze moje pytanie jest tendencyjne bo wiem jak zabezpieczyc serwer lecz denerwuje mnie to ze za kazdym razem musze wpisywac ip ktore sie laduje na moj serwer.
Zazwyczaj sa to ip z chin jak stworzyc sobie liste np w osobnym pliku z zakresami ip zeby w moim firewalu przez iptables blokowac te ip z osobnego pliku.
I jaki zakres ip wpisac dla tych chin bo juz mnie to zaczyna denerwowac. Moj firewal teraz wyglada jak ksiega ip a nie jak firewal bo caly plik to iptables .........ip -j DROP
Moze macie jakies ciekawe proste rozwiazania.

bercik · 2009-10-13 16:36:07

Kod:

while read ip; do iptables .... $ip ..... -j DROP; done < plik_z_blokowanymi_adresami_IP

czarny30 · 2009-10-14 01:07:08

bercik napisał(-a):

Kod:

while read ip; do iptables .... $ip ..... -j DROP; done < plik_z_blokowanymi_adresami_IP

nie dziala to co podales.

bercik · 2009-10-14 01:44:22

dodaje regulki i one nie dzialaja czy tez zwraca jakis blad przy samym wywolaniu?

(rozumiem ze uzupelniles .... odpowiednia skladnia iptables i wstawiles w odpowiednim miejscu skryptu firewalla ...)

gielo · 2009-10-14 16:25:33

Włącz sobie także filtrację tzw. adresów bogon jako że często ataki nie są przeprowadzane z fizycznie istniejących ip.

czarny30 · 2009-10-15 21:38:53

dodaje uruchamia sie ale nie dziala wstawilem ip kolegi i on moze sie laczyc z moim serwerem bez problemu

bercik · 2009-10-15 22:31:20

a wstawiles w odpowiednim miejscu ... przeanalizuj/pokaz moze wynik iptables -L -n

czarny30 · 2009-10-16 01:53:25

ok prosze jeszcze podaj mi cala skladnie jak to ma wygladac bez kropek bo moze ja tam cos zle wpisuje

bo ja wpisuje tak

while read ip; do iptables -A INPUT -s $ip -j DROP; done < plik_z_blokowanymi_adresami_IP

Czy cos jeszcze dopisuje po $ip?

bercik · 2009-10-16 14:40:30

to wyglada ok, jest jeszcze kwestia w ktorym miejscu masz to wstawione (iptables jest wrazliwe na kolejnosc regol) ... dlatego prosilem o wyik iptables -L -n

siarka2107 · 2009-10-17 21:20:12

Może po prostu użyj geoip z xtables-addons(1 i 2) albo coś od firmy MAXMIND(1 i 2). Ja użyłbym pierwszego rozwiązania, drugie musisz jeszcze oskryptować.

czarny30 · 2009-10-22 00:59:55

bercik napisał(-a):
to wyglada ok, jest jeszcze kwestia w ktorym miejscu masz to wstawione (iptables jest wrazliwe na kolejnosc regol) ... dlatego prosilem o wyik iptables -L -n

Mam tak

Kod:

#!/bin/sh

# interfejsy
LO_IFACE="lo"
WAN_IFACE="eth1"
LAN_IFACE="eth0"
WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`
LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1`

#adresy IP
LO_IP="127.0.0.1"


# Å›cieÅ¼ka do iptables
IPTABLES="/usr/sbin/iptables"

# Wlaczenie mechanizmu wykrywania oczywistych falszerstw
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# Ochrona przed atakiem typu Smurf
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Nie aktceptujemy pakietow "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Wlaczamy ochrone przed blednymi komunikatami ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# Limitowanie sesji tcp
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time
echo "0" > /proc/sys/net/ipv4/tcp_window_scaling
echo "0" > /proc/sys/net/ipv4/tcp_sack
echo "20" > /proc/sys/net/ipv4/ipfrag_time
echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog

# TCP timestamps protection
echo "1" > /proc/sys/net/ipv4/tcp_timestamps

# Ignore redirected packets
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects

# uruchomienie przekazywania pakietow IP miedzy interfejsami
echo "1" > /proc/sys/net/ipv4/ip_forward

# uniemoÅ¼liwia udostepnianie netu dalej
echo "1" > /proc/sys/net/ipv4/ip_default_ttl
#$IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1
# czyszczenie regul
iptables -F
iptables -t nat -F
iptables -t mangle -F


iptables -X
iptables -t nat -X
iptables -t mangle -X

#iptables -F -t nat
#iptables -X -t nat
#iptables -F -t filter
#iptables -X -t filter

# ustawienie polityk na DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i ${LO_IFACE} -j ACCEPT
iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT

#blokowanie ip
while read ip; do iptables -A INPUT -s $ip -j DROP; done < blok_ip

I nie działa

bercik · 2009-10-22 11:00:14

1. lepiej podac pelna sciezke do blok_ip
2. jaka zawartosc ma ten plik
3. tutaj widac co powinno byc ... a 'iptables -L -n' pokazuje co jest ...

Jacekalex · 2009-10-25 20:58:48

Witam

Wielkim ekspertem nie jestem - ale kiedy kombinowałem z patch-o-matic-ng - to tam był moduł geoip do firewalla.
http://people.netfilter.org/peejix/geoip/howto/geoip-HOWTO.html

Natomiast Fali2ban jest niezły - lecz zżera moc obliczeniową procka - której na ogół trochę brakuje.
Radzę ssh i inne "delikatne" usługi - które mają być ukryte- przenieść na inne porty, do tego kilka reguł z użyciem ipt_recent - analogicznie do sposobu na ssh z FAQ - lecz nie dla samego ssh - ale do zakresu portów - najlepiej wszystkich - z wyjątkiem http.

Lista adresów IP ze skryptu trochę niepraktyczne - kilka tysięcy pozycji - wtedy firewall ma trochę za dużo sprawdzania - inaczej trwa sprawdzanie 200 reguł - inaczej 5000 reguł.
Analogicznie do failbana - obciążenie procka.

Lepiej zrób osobny łańcuch do usługi smtp - i wrzuć do niego RBL ze spamhausu - nie jest zbyt ogromna - za to oszczędza masę roboty serwerowi smtp (sprawdzanie RBL) - http://www.spamhaus.org/faq/answers.lasso?section=DROP%20FAQ

Dla HTTP - jeśli masz apacha - to jest moduł security - który można spiąć z firewallem przez httpd-guardian,
jeśli nginx lub lighthttpd - to też możesz pokombinować z firewallem ( limit, ACCOUNT, itp)

Do tego - ewentulanie - na skanery portów ipt_TARPIT (też z p-o-m) - i powinno być ok.

Pozdr.

Ostatnio edytowany przez Jacekalex (2009-10-25 21:46:16)

Forum Debian Users Gang

Ogłoszenie

#1 2009-10-13 01:16:39

czarny30 - Użytkownik

włamania z chin jak zabezpieczyc serwer

#2 2009-10-13 16:36:07

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

Kod:

#3 2009-10-14 01:07:08

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

bercik napisał(-a):

Kod:

#4 2009-10-14 01:44:22

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#5 2009-10-14 16:25:33

gielo - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

#6 2009-10-15 21:38:53

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

#7 2009-10-15 22:31:20

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#8 2009-10-16 01:53:25

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

#9 2009-10-16 14:40:30

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#10 2009-10-17 21:20:12

siarka2107 - Użyszkodnik DUG

Re: włamania z chin jak zabezpieczyc serwer

#11 2009-10-22 00:59:55

czarny30 - Użytkownik

Re: włamania z chin jak zabezpieczyc serwer

bercik napisał(-a):

Kod:

#12 2009-10-22 11:00:14

bercik - Moderator Mamut

Re: włamania z chin jak zabezpieczyc serwer

#13 2009-10-25 20:58:48

Jacekalex - Podobno człowiek...;)

Re: włamania z chin jak zabezpieczyc serwer

Stopka forum