Forum Debian Users Gang

morfik · 2013-12-20 18:21:59

U mnie dnscrypt chodzi cały czas, żadnych udziwnień nie mam.

Brakuje ostatniego commita. Masz u siebie?

Ostatnio edytowany przez morfik (2013-12-20 18:24:51)

gnejusz pompejusz · 2013-12-20 18:32:46

Commit jest.
Nie przekleił się. ;)

morfik · 2013-12-20 18:36:31

Tam przy dodawaniu to musisz sprecyzować tabele przy pomocy -t raw ale to tylko przy ręcznym dodawaniu wpisów.

Ostatnio edytowany przez morfik (2013-12-20 18:39:59)

gnejusz pompejusz · 2014-01-10 10:14:16

Potrzeba było jeszcze:

Kod:

apt-get install xtables-addons-dkms

Teraz mam

iptables -t raw -S
-P PREROUTING ACCEPT
-P OUTPUT ACCEPT
-A PREROUTING -p tcp -m set --match-set whitelist src -j ACCEPT
-A PREROUTING -p tcp -m multiport ! --sports 80,443 -m set --match-set bt_level1 src -j STEAL
-A PREROUTING -m set --match-set bt_spyware src -j STEAL
-A PREROUTING -m set --match-set bt_webexploit src -j STEAL
-A OUTPUT -p tcp -m set --match-set whitelist dst -j ACCEPT
-A OUTPUT -p tcp -m multiport ! --dports 80,443 -m set --match-set bt_level1 dst -j STEAL
-A OUTPUT -m set --match-set bt_spyware dst -j STEAL
-A OUTPUT -m set --match-set bt_webexploit dst -j STEAL

iptables -t filter -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A OUTPUT -m state --state INVALID -j DROP

Czyli tablica filter się nie dodała?

morfik · 2014-01-10 10:43:01

W sumie to faktycznie, nie ma tego pakietu w texcie. Myślałem, że xtables-addons-common automatycznie dociągnie go. Zaraz to dopiszę.

Co do reguł, to tak powinno wyglądać. Sprawdź sobie jak pakiety latają przez

Kod:

watch -n 0.5 "iptables -nvL"
watch -n 0.5 "iptables -nvL -t raw"

gnejusz pompejusz · 2014-01-14 11:37:15

Chain PREROUTING (policy ACCEPT 529K packets, 725M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 match-set whitelist src
9 432 STEAL tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport sports !80,443 match-set bt_level1 src
9 1494 STEAL all — * * 0.0.0.0/0 0.0.0.0/0 match-set bt_spyware src
0 0 STEAL all — * * 0.0.0.0/0 0.0.0.0/0 match-set bt_webexploit src

Chain OUTPUT (policy ACCEPT 307K packets, 36M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 match-set whitelist dst
24 1440 STEAL tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports !80,443 match-set bt_level1 dst
0 0 STEAL all — * * 0.0.0.0/0 0.0.0.0/0 match-set bt_spyware dst
0 0 STEAL all — * * 0.0.0.0/0 0.0.0.0/0 match-set bt_webexploit dst

Coś tam lata do tego celu STEAL. Dlaczego w liście bt_level1 są tylko tcp? Nie powinno być all?

morfik · 2014-01-14 12:13:07

Ciekawe pytanie i na dobrą sprawę to nie mam pojęcia. xD Tak zasugerował Jacekalex . Ja sobie właśnie wrzuciłem regułę od udp by zobaczyć czy gdzieś jakieś pakiety lecą, no i lecą. :]

Jacekalex -- mógłbyś napisać czy te pakiety wysyłane po udp na adresy zakazane mają jakieś znaczenie? Puścić je czy blokować? Ich jest w sumie 2-3x więcej niż tych po tcp.

Ostatnio edytowany przez morfik (2014-01-14 12:14:39)

gnejusz pompejusz · 2014-01-14 13:52:07

To, ze udp jest wiecej mnie nie dziwi.
Dlaczego masz:

-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -j REJECT --reject-with icmp-proto-unreachable

zamiast -j DROP
?

morfik · 2014-01-14 14:41:19

Zajrzyj pod https://wiki.archlinux.org/index.php/Simple_Statefu … e_INPUT_chain

We reject TCP connections with TCP RST packets and UDP streams with ICMP port unreachable messages if the ports are not opened. This imitates default Linux behavior (RFC compliant), and it allows the sender to quickly close the connection and clean up.

For other protocols, we add a final rule to the INPUT chain to reject all remaining incoming traffic with icmp protocol unreachable messages. This imitates Linux's default behavior.

Ja się jeszcze za bardzo nie wgryzałem w iptables, ale mam to w planach i sobie to kiedyś rozpiszę. Póki co, tylko experymentuje.

Ostatnio edytowany przez morfik (2014-01-14 14:42:53)

gnejusz pompejusz · 2014-01-14 14:52:23

Mi się wydaję, że lepiej, żeby komputer był niewidoczny, ;)

morfik · 2014-01-14 16:25:36

Ale to nie ukrywa, a gdzieś mi się o oczy obiło, że drop w tych przypadkach tylko pogarsza sprawę, dlatego wszędzie są te reject'y.

gnejusz pompejusz · 2014-01-15 11:21:18

Trochę inna sprawa z tym drop. Próbowałeś kiedyś skanować swój komputer? Przy reject odpowiadasz, że "nie". Przy drop nie odpowiadasz nic.(o ile dobrze pamiętam)
Zmieniłem sobie na DROP i różnicy nie widzę. Możesz napisać, co pogarsza zmiana REJECT na DROP?

morfik · 2014-01-15 15:44:31

Zadałem to pytanie na stackexchange i dostałem taką odpowiedź (kawałek z niej):

A common reason for using DROP rather than REJECT is to avoid giving away information about which ports are open, however, discarding packets gives away exactly as much information as the rejection.

With REJECT, you do your scan and categorise the results into "connection established" and "connection rejected".

With DROP, you categorise the results into "connection established" and "connection timed out".

The most trivial scanner will use the operating system "connect" call and will wait until one connection attempt is completed before starting on the next. This type of scanner will be slowed down considerably by dropping packets. However, if the attack sets a timeout of 5 seconds per connection attempt, it is possible to scan every reserved port (1..1023) on a machine in just 1.5 hours. Scans are always automated, and an attacker doesn't care that the result isn't immediate.

A more sophisticated scanner will send packets itself rather than relying on the operating system's TCP implementation. Such scanners are fast, efficient and indifferent to the choice of REJECT or DROP.

CONCLUSION

DROP offers no effective barrier to hostile forces but can dramatically slow down applications run by legitimate users. DROP should not normally be used.

A tu jeszcze link http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject

Ostatnio edytowany przez morfik (2014-01-15 16:45:49)

Jacekalex · 2014-01-15 16:57:54

Cel STEAL tak jak i DROP blokuje wszystko.
Wszystko na ten temat jest w manie i helpach.
REJECT odbija pakiet syn z komunikatem ICMP o błędzie, przy czym opcja tcp-reset działa tylko dla połączenia tcp, przy ustawieniu na udp wywali bląd.

Poza tym, jak ktoś tego nie rozumie, to ustawić reguły dla adresu np 127.0.15.14 i skanować ten adres przy pomocy nmapa przy rożnych typach ustawień fw.

Albo postawić WM na vboxie czy kvm i testować komunikację po tap lub vboxnet między dwoma systemami.

Tablica raw ogarnia pakiety zanim zacznie je śledzić mechanizm conntrack.
Dlatego ma tylko dwa łańcuchy, PREROUTING i OUTPUT.

Przykład testowania modułów xtables:

Kod:

-A INPUT -d 127.0.2.1/32 -i lo -p udp -j REJECT --reject-with icmp-host-unreachable
-A INPUT -d 127.0.2.1/32 -i lo -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -d 127.0.2.2/32 -i lo   -j CHAOS --delude
-A INPUT -d 127.0.2.3/32 -i lo   -j CHAOS --tarpit
-A INPUT -d 127.0.2.4/32 -i lo -j STEAL
-A INPUT -d 127.0.2.5/32 -i lo -p tcp -j DELUDE
-A INPUT -d 127.0.2.6/32 -i lo -j DROP
-A INPUT -d 127.0.2.7/32 -i lo -p tcp -j TARPIT --tarpit 
-A INPUT -d 127.0.2.8/32 -i lo -p tcp -j TARPIT --honeypot 
-A INPUT -d 127.0.2.9/32 -i lo -p tcp -j TARPIT --reset 
-A INPUT ! -d 127.0.2.0/24 -i lo -j ACCEPT

Najweselsze wyniki nmap pokazuje przy DELUDE albo CHAOS --delude.

Ostatnio edytowany przez Jacekalex (2014-03-12 13:28:38)

gnejusz pompejusz · 2014-01-21 08:29:19

Pomijając dyskusję na temat celów i ustawień zapory(to chyba lepiej w innym wątku) może wrócimy do drugiego problemu?
Dlaczego w bt_level1 są tylko połączęnia tcp?

morfik · 2014-01-21 19:51:24

Ja tam sobie testowałem to z all i nic się nie dzieje, także pewnie można bez problemu ustawić.

gnejusz pompejusz · 2014-03-12 12:45:34

Może jakiś update i wersja związana z systemd?

morfik · 2014-03-12 13:14:37

A jaki update?

Co do systemd -- to nie mam go i raczej nie prędko będę miał, także nic nie napiszę w tej sprawie.

gnejusz pompejusz · 2014-03-12 13:55:22

Właśnie związany ze zmianą initu na systemd.

morfik · 2014-05-05 03:34:38

Trochę inna sprawa z tym drop. Próbowałeś kiedyś skanować swój komputer? Przy reject odpowiadasz, że "nie". Przy drop nie odpowiadasz nic.(o ile dobrze pamiętam)
Zmieniłem sobie na DROP i różnicy nie widzę. Możesz napisać, co pogarsza zmiana REJECT na DROP?

Tak sobie czytam na sieci i znalazłem całkiem miłe wyjaśnienie:

Upewniłem się, że mój firewall blokuje dostęp do serwera MySQL, ale nie za bardzo pasuje mi to, że nmap przez proste skanowanie portów jest w stanie powiedzieć, że na moim serwerze teoretycznie zainstalowany jest serwer MySQL. Jak to jest możliwe? Odpowiedź tkwi w sposobie, w jaki firewall odpowiada na żądanie połączenia. Jeśli reguła łańcucha trafia w sposób postępowania typu DROP – przychodzący pakiet po prostu jest ignorowany. Jest to zupełnie inny sposób niż ten, który wykonywany jest przez system operacyjny, gdy żadna aplikacja nie nasłuchuje na danym porcie – wówczas system odpowiada na żądanie pakietem TCP RST. Dlatego dość sprytny skaner portów jest w stanie odróżnić, który port jest nieużywany, a który zwyczajnie filtrowany. Jeśli chcemy, aby nasz firewall zachował się identycznie jak system operacyjny wystarczy w/w regułę zastąpić następującym wpisem:
1

iptables -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j REJECT --reject-with tcp-reset

http://nfsec.pl/security/5607

Jacekalex · 2014-05-05 09:47:28

Znacznie ciekawsze możliwości dają cele TARPIT, STEAL, CHAOS, DELUDE.
Wszystkie z xtables-addons, na jaju 3.14 na razie się nie kompiluje.

I jak zwykle na nfsec przykład z doopy wzięty, bo w przypadku domyślnej akcji DROP, wszystkie 65536 portów dropuje pakiety (z wyjątkiem portów otwartych dla poszczególnych usług), i niech sobie ktoś kombinuje, co się za dropowanymi portami kryje, jakież to tajne usługi tam wiszą :D
Jeśli takich portów ma np 65520, to przyjemnej zabawy życzę.

Jeśli natomiast mamy adres hosta, i na nim stoi Wordpress, to skąd możemy wiedzieć, czy tam jest Mysql, czy nie ma. :D

Jak myślicie, na Dugu jest Mysql? albo PostgreSQL?
Skąd to można wiedzieć? :DDD

Nie wiem, kto pisze na tym nfsec, ale jakieś niezła bałwaneria chyba. która pisze o sprawach, których w ogóle nie rozumie, np pisze o firewallu nie rozumiejąc znaczenia polityki domyślnej, tak, jakby zagadnienie firewalla dzieliło się na 65536 odrębnych zagadnień dla poszczególnych portów, każdego osobno.

W takim pisaniu w ogóle nie widać logiki rozumowania, tylko dosłownie pieprzenie.

System i tak zawsze będzie na tyle bezpieczny, jak administrator systemu kumaty, i to w zasadzie wszystko.

morfik · 2014-05-05 10:52:28

Ten STEAL target został już porzucony jakiś czas temu — http://sourceforge.net/p/xtables-addons/xtables-add … c3bfc8926c7f/

Jak myślicie, na Dugu jest Mysql?

Ja wiem ze tu jest mysql, już tyle razy się wysypał i wywalił mi błęda o zbyt dużej liczbie połączeń, że się zastanawiam czy to ja może coś tu psuje. xD

Jacekalex · 2014-05-05 11:38:25

U mnie na jaju 3.13.x STEAL działał bez problemu, na 3.14.x nie udało mi się na razie xtables skompilować.

gnejusz pompejusz · 2014-05-05 13:21:59

Ok.
ale jak te rozważania mają się do desktopu na którym nie ma żadnych usług uruchmionych?

gnejusz pompejusz · 2014-05-20 17:11:18

Kod:

ipset v6.21.1: Error in line 1: Hash is full, cannot add more eleme

Hmm...
Czy jakiś problem po aktualizacji ipset?

Forum Debian Users Gang

Ogłoszenie

#26 2013-12-20 18:21:59

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#27 2013-12-20 18:32:46

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#28 2013-12-20 18:36:31

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#29 2014-01-10 10:14:16

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

Kod:

#30 2014-01-10 10:43:01

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

Kod:

#31 2014-01-14 11:37:15

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#32 2014-01-14 12:13:07

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#33 2014-01-14 13:52:07

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#34 2014-01-14 14:41:19

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#35 2014-01-14 14:52:23

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#36 2014-01-14 16:25:36

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#37 2014-01-15 11:21:18

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#38 2014-01-15 15:44:31

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#39 2014-01-15 16:57:54

Jacekalex - Podobno człowiek...;)

Re: PeerGuardian i inne filtry ip

Kod:

#40 2014-01-21 08:29:19

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#41 2014-01-21 19:51:24

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#42 2014-03-12 12:45:34

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#43 2014-03-12 13:14:37

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#44 2014-03-12 13:55:22

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#45 2014-05-05 03:34:38

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#46 2014-05-05 09:47:28

Jacekalex - Podobno człowiek...;)

Re: PeerGuardian i inne filtry ip

#47 2014-05-05 10:52:28

morfik - Cenzor wirtualnego świata

Re: PeerGuardian i inne filtry ip

#48 2014-05-05 11:38:25

Jacekalex - Podobno człowiek...;)

Re: PeerGuardian i inne filtry ip

#49 2014-05-05 13:21:59

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip

#50 2014-05-20 17:11:18

gnejusz pompejusz - Użytkownik

Re: PeerGuardian i inne filtry ip