Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam moze moje pytanie jest tendencyjne bo wiem jak zabezpieczyc serwer lecz denerwuje mnie to ze za kazdym razem musze wpisywac ip ktore sie laduje na moj serwer.
Zazwyczaj sa to ip z chin jak stworzyc sobie liste np w osobnym pliku z zakresami ip zeby w moim firewalu przez iptables blokowac te ip z osobnego pliku.
I jaki zakres ip wpisac dla tych chin bo juz mnie to zaczyna denerwowac. Moj firewal teraz wyglada jak ksiega ip a nie jak firewal bo caly plik to iptables .........ip -j DROP
Moze macie jakies ciekawe proste rozwiazania.
Offline
while read ip; do iptables .... $ip ..... -j DROP; done < plik_z_blokowanymi_adresami_IP
Offline
bercik napisał(-a):
Kod:
while read ip; do iptables .... $ip ..... -j DROP; done < plik_z_blokowanymi_adresami_IP
nie dziala to co podales.
Offline
dodaje regulki i one nie dzialaja czy tez zwraca jakis blad przy samym wywolaniu?
(rozumiem ze uzupelniles .... odpowiednia skladnia iptables i wstawiles w odpowiednim miejscu skryptu firewalla ...)
Offline
dodaje uruchamia sie ale nie dziala wstawilem ip kolegi i on moze sie laczyc z moim serwerem bez problemu
Offline
a wstawiles w odpowiednim miejscu ... przeanalizuj/pokaz moze wynik iptables -L -n
Offline
ok prosze jeszcze podaj mi cala skladnie jak to ma wygladac bez kropek bo moze ja tam cos zle wpisuje
bo ja wpisuje tak
while read ip; do iptables -A INPUT -s $ip -j DROP; done < plik_z_blokowanymi_adresami_IP
Czy cos jeszcze dopisuje po $ip?
Offline
to wyglada ok, jest jeszcze kwestia w ktorym miejscu masz to wstawione (iptables jest wrazliwe na kolejnosc regol) ... dlatego prosilem o wyik iptables -L -n
Offline
Offline
bercik napisał(-a):
to wyglada ok, jest jeszcze kwestia w ktorym miejscu masz to wstawione (iptables jest wrazliwe na kolejnosc regol) ... dlatego prosilem o wyik iptables -L -n
Mam tak
#!/bin/sh # interfejsy LO_IFACE="lo" WAN_IFACE="eth1" LAN_IFACE="eth0" WAN_IP=`ifconfig $WAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1` LAN_IP=`ifconfig $LAN_IFACE | grep inet | cut -d : -f 2 | cut -d ' ' -f 1` #adresy IP LO_IP="127.0.0.1" # Åcieżka do iptables IPTABLES="/usr/sbin/iptables" # Wlaczenie mechanizmu wykrywania oczywistych falszerstw echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter # Ochrona przed atakiem typu Smurf echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Nie aktceptujemy pakietow "source route" echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route # Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects # Wlaczamy ochrone przed blednymi komunikatami ICMP error echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # Wlacza logowanie dziwnych (spoofed, source routed, redirects) pakietow echo "1" > /proc/sys/net/ipv4/conf/all/log_martians # Limitowanie sesji tcp echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout echo "2400" > /proc/sys/net/ipv4/tcp_keepalive_time echo "0" > /proc/sys/net/ipv4/tcp_window_scaling echo "0" > /proc/sys/net/ipv4/tcp_sack echo "20" > /proc/sys/net/ipv4/ipfrag_time echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog # TCP timestamps protection echo "1" > /proc/sys/net/ipv4/tcp_timestamps # Ignore redirected packets echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects # uruchomienie przekazywania pakietow IP miedzy interfejsami echo "1" > /proc/sys/net/ipv4/ip_forward # uniemożliwia udostepnianie netu dalej echo "1" > /proc/sys/net/ipv4/ip_default_ttl #$IPTABLES -t mangle -A PREROUTING -i ${LAN_IFACE} -j TTL --ttl-set 1 # czyszczenie regul iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X #iptables -F -t nat #iptables -X -t nat #iptables -F -t filter #iptables -X -t filter # ustawienie polityk na DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i ${LO_IFACE} -j ACCEPT iptables -A FORWARD -o ${LO_IFACE} -j ACCEPT #blokowanie ip while read ip; do iptables -A INPUT -s $ip -j DROP; done < blok_ip
I nie działa
Offline
1. lepiej podac pelna sciezke do blok_ip
2. jaka zawartosc ma ten plik
3. tutaj widac co powinno byc ... a 'iptables -L -n' pokazuje co jest ...
Offline
Witam
Wielkim ekspertem nie jestem - ale kiedy kombinowałem z patch-o-matic-ng - to tam był moduł geoip do firewalla.
http://people.netfilter.org/peejix/geoip/howto/geoip-HOWTO.html
Natomiast Fali2ban jest niezły - lecz zżera moc obliczeniową procka - której na ogół trochę brakuje.
Radzę ssh i inne "delikatne" usługi - które mają być ukryte- przenieść na inne porty, do tego kilka reguł z użyciem ipt_recent - analogicznie do sposobu na ssh z FAQ - lecz nie dla samego ssh - ale do zakresu portów - najlepiej wszystkich - z wyjątkiem http.
Lista adresów IP ze skryptu trochę niepraktyczne - kilka tysięcy pozycji - wtedy firewall ma trochę za dużo sprawdzania - inaczej trwa sprawdzanie 200 reguł - inaczej 5000 reguł.
Analogicznie do failbana - obciążenie procka.
Lepiej zrób osobny łańcuch do usługi smtp - i wrzuć do niego RBL ze spamhausu - nie jest zbyt ogromna - za to oszczędza masę roboty serwerowi smtp (sprawdzanie RBL) - http://www.spamhaus.org/faq/answers.lasso?section=DROP%20FAQ
Dla HTTP - jeśli masz apacha - to jest moduł security - który można spiąć z firewallem przez httpd-guardian,
jeśli nginx lub lighthttpd - to też możesz pokombinować z firewallem ( limit, ACCOUNT, itp)
Do tego - ewentulanie - na skanery portów ipt_TARPIT (też z p-o-m) - i powinno być ok.
Pozdr.
Ostatnio edytowany przez Jacekalex (2009-10-25 21:46:16)
Offline
Strony: 1