Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundację Dzieciom „Zdążyć z Pomocą”.
Więcej informacji na dug.net.pl/pomagamy/.

#1 2018-09-02 11:20:11

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Eliminacja w logu czesci pakietow objetych prefixem.

Witam wszystkich.

Mam regole iptables:

Kod:

iptables -I INPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

W wyniku jej dzialania 99 % zzuconych do pliku loga stanowia pakiety z adresem "127.0.0.1" czyli local.
Poniewaz najciekawsze jest wlasnie ten 1% to jak skonfigurowac powyzsza regole, zeby odrzucala te 99% lokalnych a zapisywala jedynie ten 1 % "najciekawszych" ?

Pozdro.

Ostatnio edytowany przez Novi-cjusz (2018-09-02 22:27:09)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#2 2018-09-02 13:35:50

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Pierwszą daj regułę wszysko accept z adresów 127.0.0.0/8 czyli puli lokalnej (wewnętrznej dla systemu operacyjnego), a logowanie w drugiej.
Powinno radykalnie pomóc.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3 2018-09-02 13:43:32

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Zacząłbym od zapoznania się ze słownikiem ortograficznym języka polskiego. W następnej kolejności wpisałbym magiczne zaklęcie brzmiące "man itables", szukając słowa interface. Jeśli tego byłoby za mało, przeczytałbym rozdział traktujący o dopasowaniach do adresów ip, oraz następny o negacjach.
Po tym wszystkim nie musiałbym zadawać durnych pytań.
Aha, zanim zaczniesz tupać nogami i płakać że ethanak nie chce Ci pomóc - jak przeczytasz jeszcze raz tego posta to znajdziesz co najmniej dwie odpowiedzi na swoje żale.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#4 2018-09-02 15:51:39

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Eliminacja w logu czesci pakietow objetych prefixem.

@ Jacekalex

Tak zrobilem:

Kod:

iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

W iptables.log sie zmienilo i tak teraz wyglada:

Kod:

DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24735 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443381] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24736 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443396] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24737 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443419] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=192.168.0.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=2257 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443436] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24738 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:19 robin-desktop kernel: [21700.443452] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24739 PROTO=UDP SPT=17500 DPT=17500 LEN=142 
Sep  2 14:46:26 robin-desktop kernel: [21707.059345] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59280 DF PROTO=UDP SPT=36360 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.060479] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59281 DF PROTO=UDP SPT=50227 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.070700] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59283 DF PROTO=UDP SPT=59371 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.071815] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59284 DF PROTO=UDP SPT=37527 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.095382] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59289 DF PROTO=UDP SPT=46321 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.096738] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59290 DF PROTO=UDP SPT=42215 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.107388] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59292 DF PROTO=UDP SPT=55242 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.108440] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59293 DF PROTO=UDP SPT=39542 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.138702] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59300 DF PROTO=UDP SPT=34115 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.139719] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59301 DF PROTO=UDP SPT=43885 DPT=53 LEN=33 
Sep  2 14:46:26 robin-desktop kernel: [21707.150168] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59303 DF PROTO=UDP SPT=33419 DPT=53 LEN=39 
Sep  2 14:46:26 robin-desktop kernel: [21707.151484] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59304 DF PROTO=UDP SPT=53306 DPT=53 LEN=33

W dalszym ciagu nie "odfiltrowywuje" pakietow z "ciekawymi" adresami  z powodzi lokalnego trafficu.

Ostatnio edytowany przez Novi-cjusz (2018-09-02 15:52:41)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#5 2018-09-02 17:18:02

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Kolejność reguł ma znaczenie.
Ważne też jest, ktore cele kończą a ktore nie kończzą przetwarzania pakietu przez netfiltera.

pokaż cały wynik:

Kod:

iptables -S

Względnie w regule można wykluczyć klasę adresów:

Kod:

iptables -I INPUT ! -s 127.0.0.0/8  -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

Chociaż takie rozwiązanie to już lamerstwo i kapitulacja wobec sensownej konfiguracji netfiltera.

Ostatnio edytowany przez Jacekalex (2018-09-02 17:21:27)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6 2018-09-02 17:19:24

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Eliminacja w logu czesci pakietow objetych prefixem.

Kod:

iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -s 127.0.0.0/8 -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix indrop
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -f -j DROP
-A OUTPUT -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix outdrop
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

O wykluczaniu klasy adresow tez juz myslalem, ale to rzeczywiscie bylaby smutna koniecznosc.
Iptables daje tyle wariantow, ze z pewnoscia istnieje lepsze rozwiazanie.
Na razie nie mam pomyslu.

Ps. Tak w ogole jak przy ww zestawie regol, dam na poczatku DROP w polityce domyslnej, to odcinam sie od sieci, dlaczego ?
W takim rozwiazaniu firewall bylby bardziej restrykcyjny.

Ostatnio edytowany przez Novi-cjusz (2018-09-02 18:18:38)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#7 2018-09-02 19:43:28

Novi-cjusz
Użytkownik
Zarejestrowany: 2013-03-05

Re: Eliminacja w logu czesci pakietow objetych prefixem.

@Jacekalex
Bardzo jestem ciekaw Twojej opini nt takiej regoly:

Kod:

iptables -I INPUT ! -s localhost  -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"

Czyli caly traffic z wyjatkiem pochodzacego z lokalnego hosta

Ostatnio edytowany przez Novi-cjusz (2018-09-02 19:45:09)


------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."

Offline

 

#8 2018-09-03 15:45:12

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Eliminacja w logu czesci pakietow objetych prefixem.

@Jacekalex - możesz mi wyjaśnić jakoś tak poglądowo, dlaczego wykluczenie interfejsu lo jest lamerstwem (szczególnie w kontekście nieznajomości następnych reguł?)


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#9 2018-09-03 16:04:18

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Eliminacja w logu czesci pakietow objetych prefixem.

ethanak napisał(-a):

@Jacekalex - możesz mi wyjaśnić jakoś tak poglądowo, dlaczego wykluczenie interfejsu lo jest lamerstwem (szczególnie w kontekście nieznajomości następnych reguł?)

Wykluczenie interfejsu lamerstwem nie jest.

Pod warunkiem, że używa się nazwy interfejsu albo klasy adresowej tego interfejsu.

Lamerstwo polega na tym, że się pokazuje i ocenia jedną regulę a nie całość FW, który zakłada hierarchię reguł i dodatkowo zawiera cele które kończą lub nie kończą przetwarzanie pakietu.

Fachowo raz wpuszczone przez lo pakiety nie powinny po zastosowaniu ACCEPT przetwarzane przez kolejne reguły  w tablicy filter, ale bez całości FW nie da się stwierdzić, co tam się naprawdę dzieje.

Jak pisałem posta #5 to całego FW tutaj jeszcze nie było.

Proponowanie składni reguly FW bez znajomości całej tablicy FW to jest gdybologia totalna.
xD

Ostatnio edytowany przez Jacekalex (2018-09-03 16:09:12)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)