Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для блокирования на определенное время IP, обратившегося по неактивному номеру порта.iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPiptables -A INPUT -p all -i lo -j ACCEPT
iptables -A OUTPUT -p all -o lo -j ACCEPT# любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
# на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROPiptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Теперь nmap -sV ip не выдаст ничего и если какой нибудь демон повесить на нестандартный порт, его будет не так просто обнаружить.URL: http://linux-online-ru.blogspot.com/2010/01/blog-post_17.html
Обсуждается: http://www.opennet.me/tips/info/2267.shtml
Таким же образом защищаем сеть за роутером.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROPэто просто фееричный пинцет...
Вас очень смущает http:/openforum/vsluhforumID10/4466.html#7 то, что вы чего-то http:/openforum/vsluhforumID10/4466.html#11 не понимаете, и Вы хотите об этом пого^Wвсем нам рассказать?
ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета
спасибо пригодится
...
и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
в каком году уважаемый видел последний раз фтп сервер в активном режиме?
>в каком году уважаемый видел последний раз фтп сервер в активном режиме?
>ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и проблема не такая явная, но она сеть )
Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть, можно пожелать удачи в использовании активного FTP и дальше.
>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сетьНе просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?
>>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть
>
>Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?Ты чаво, такую тему пропустил!!! Пред Новым годом было
>Ты чаво, такую тему пропустил!!! Пред Новым годом былоУгу, прощёлкал... Видимо принял за британских учёных с фороникса. :/
>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но чреват побочными эффектами, при том еще большой вопрос от кого будет хуже - от этих спецэффектов или от сканов портов (а собственно какой от них вред, по большому счетй?).
>>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,
>
>И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но
>чреват побочными эффектами, при том еще большой вопрос от кого будет
>хуже - от этих спецэффектов или от сканов портов (а собственно
>какой от них вред, по большому счетй?).ны дык я привел самый распространненый и злободневный пример ))
изначально понятно что данный метод параноя на гране маразма ...
> iptables -P OUTPUT DROPУгу...
nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112 -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;Interesting ports on 192.168.20.1:
PORT STATE SERVICE VERSION
109/tcp closed pop2
110/tcp closed pop3
111/tcp filtered rpcbind
112/tcp closed mcidas
MAC Address: 00:A0:D1:53:B0:EA (Inventec)Опа, фильтрует...
# любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
# на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
и отправив пакет от имени этого адреса - легко организуем DOS для него
Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом:-A INPUT -j REJECT --reject-with icmp-host-prohibited
"
Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFFно как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?
>Интересный пример
>но как смысл вЕсли Вы почитаете страничку (google.ru + "-m recent") модуля recent, то с удивлением узнаете, что:
1/ это штатное его применение описанное автором---
2/ смысл не в "блокировании" просто абы кого, а блокировании тех, кто, типа, ломился (более трёх раз за 120с)+++
> (более трёх раз за 120с)1. А где написано про "более трёх раз"?
2. --hitcount 3 надо добавлять
3. И не раз, а не более x TCP пакетов c флагом NEWА при сканировании можно ведь и не указывать NEW
А так же есть ip spoofing указав, например
for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done;
Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.
> Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех транзитных провайдеров что бы они пропустили через свои сети spoofed IP адреса от пользователей.
Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
По сабжу - параноидальный бред, который рождает кучу гемороя.
Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
альтернативный пример использования описаного метода
sshd вешаем на нестандартный порт 5173
прописываем такие правила
iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROPтеперь почти не реально узнать есть ли на удаленной хосте что нибудь или нет
Хорошо придумано.
Но по-моему можно еще проще: вторую строку записать какiptables -A INPUT -m recent --set --name FUCKOFF -j DROP
и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".
Вам же сказали про пинцет под названием REJECT
изобретаем PSAD ?
или что-то типа FWSnort ?
автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
>изобретаем PSAD ?
>или что-то типа FWSnort ?
>автору - поставьте задачу ТОЧНЕЕ, пожалуйста.У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
а перед ним --state ESTABLISHED,RELATED -j ACCEPTА еще можно поизвращаться в виде сброса 60% пакетов.
Есть также есть технология port knocking.
IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.
Мсье знает толк в извращениях...
Можно использовать аддон - http://sysadm.pp.ua/linux/xtables-addons.html
Так же можно использовать psad (http://sysadm.pp.ua/linux/xtables-addons.html) или же это — http://sysadm.pp.ua/linux/iptables-antiscan.html