OpenForum RSS: Раздел полезных советов: Пример использования таблиц блокировки в ipfw https://www.opennet.me/openforum/vsluhforumID3/38720.html Блокировка производится командой:<br><br> ipfw add deny ip from "table(1)" to any via em0 <br><br>/etc/load_table.sh:<br><br> #!/bin/sh<br> ipfw table 1 flush<br> cat /etc/block.txt &#124; while read cnt ip; do<br> ipfw table 1 add $ip<br> done <br><br>формат /etc/block.txt: "cnt ip"<br>получем, например, из tcpdump лога атаки:<br><br> tcpdump -n -i em0 udp and port 80 &gt; ./tcpdump.log<br> cat ./tcpdump.log &#124;cut -d' ' -f3&#124;cut -d'.' -f1,2,3,4&#124;sort&#124;uniq -c &#124;sort -r -n &gt; /etc/block.txt<br><br><br><br><br>URL: <br>Обсуждается: http://www.opennet.ru/tips/info/1483.shtml<br> Пример использования таблиц блокировки в ipfw (nuclight) https://www.opennet.me/openforum/vsluhforumID3/38720.html#33 Wed, 09 Jan 2008 19:10:27 GMT &gt;неа. За интерфейс тут отвечает VFS :) <br>&gt;open(2) <br>&gt;read(2) <br>&gt;write(2) <br>&gt;close(2) <br>&gt;<br>&gt;Вот ЭТОТ интерфейс тут использован. Т.е. обычный, файловый. <br><br>Ага, со здоровенным промежуточным слоем в виде VFS. Нихрена не оптимально.<br><br>&gt;&gt;В связи с этим, выглядит как минимум странно фраза "iptables/recent как раз <br>&gt;&gt;это и есть, самое простое, без спец интерфейса ;) "<br>&gt;<br>&gt;VFS - более чем _не_ специальный интерфейс. Без него не бывает линуха <br>&gt;(говорим о современных версиях). За сим и вещаю, что взаимодействие источника <br>&gt;списка ИПшников <br>&gt;(прога cat) и ядра происходит без специального интерфейса (но, безусловно, _с_ интерфейсом!!!), <br>&gt;а через VFSные вызовы open()/RW()/close() <br>&gt;<br>&gt;ipfw же работает с ядром при помощи своего _СПЕЦИАЛЬНОГО_ набора ioctl() запросов. <br><br>То же, абсолютно то же делает сам iptables со своими правилами - он, как и ipfw, текстовый вид преобразует к getsockopt()/setsockopt(). Да, кстати, кое-кому не мешало бы подучить матчасть - ioctl() не используется ни в ipfw, ни в iptables.<br><br>&gt; Пример использования таблиц блокировки в ipfw (Nick) https://www.opennet.me/openforum/vsluhforumID3/38720.html#32 Sun, 18 Nov 2007 18:22:30 GMT Ок, давай на том и подвяжем :)<br><br>а трава с IPшниками - ну а че, хреново, но отпарсили :)<br>В конце концов ни это, ни выброс с ошибкой не делают сему эксперименту чести :)<br>(но парсер могли бы и подучить, конечно)<br> Пример использования таблиц блокировки в ipfw (AVK) https://www.opennet.me/openforum/vsluhforumID3/38720.html#31 Sun, 18 Nov 2007 17:41:51 GMT &gt;# cat !$<br>&gt;cat /proc/net/ipt_recent/DEFAULT<br>&gt;src=227.0.0.0 ttl: 0 last_seen: 4306263113 oldest_pkt: 1 4306263113<br>&gt;src=54.0.0.0 ttl: 0 last_seen: 4306263113 oldest_pkt: 1 4306263113<br>&gt;собсно, лимит количества ИПшников был 100 на одну таблицу (по умолчанию) <br>&gt;(на практике юзаю лимит в миллионы IPs) <br>&gt;так что, таблица просто прокручивалась и все. <br>&gt;<br>&gt;обидно, да ? :) <br><br>Обидно, конечно :) где Вы такой urandom взяли, что голимые IP на выходе есть :) Я тоже хочу такую траву. Другу подарю :) пусть проверку входных данных отлаживает :)<br><br>&gt;ах вон ты как мыслишь.<br>&gt;для тебя все, что записывает ИПшник, принимая его на входе и аж до записи во внутрений хеш &gt;- один кусок. Ну звыняй. На практике (в ядре) такие абстракции не живут. Тут нужно &gt;понимать, что методы тоже состоят из N компонент и методы взаимодествия между ними.<br><br>:) Вот это уже интересно... я программис, ООП моя стезя; как я мыслю, уже сказал. И как программист, я вижу, что сущность ipfw - более целостна с точки зрения взаимодействия cli c подсистемой Раздел полезных советов: Пример использования таблиц блокиро... (XoRe) https://www.opennet.me/openforum/vsluhforumID3/38720.html#30 Thu, 15 Nov 2007 04:18:57 GMT 2Nick:<br>&gt; я уже пришел к истине - и утверждал это.<br>&gt; Если вы ставите истинность моей истины (;) под сомнение - давайте контраргументы моим доводам, которые ПРИСУТСТВУЮТ наряду с<br>&gt; утверждением "iptables лучше". Ничего противоестественного не вижу.<br>&gt; Я хочу истину и вижу ее в netfilter'е. Свои взгляды я изложил.<br>&gt; Извольте оспорить, а не просто сказать "он сказал 'iptables лучше' - значит он неправ!"<br><br>Да, iptables лучше.<br>Свободен.<br><br>Т.к. мой предыдущий пост засел глубоко в топике посреди оффтопа, повторю совет:<br>Всунуть все ip адреса в таблицу за один проход можно командой:<br>ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname<br><br>Как я понял из мана, в файл "pathname" запихиваются команды ipfw.<br> Пример использования таблиц блокировки в ipfw (Nick) https://www.opennet.me/openforum/vsluhforumID3/38720.html#28 Thu, 15 Nov 2007 01:18:16 GMT &gt;Я бы не стал дальше спорить после такого утверждения. <br>&gt;Когда человек в споре хочет прийти не к истине ("истина рождается в <br>&gt;споре", а просто к удовлетворению своих желаний ("iptables/linux все равно лучше/круче"), <br>&gt;то адекватности тут можно не ждать. <br><br>я уже пришел к истине - и утверждал это.<br>Если вы ставите истинность моей истины (;) под сомнение - давайте контраргументы моим доводам, которые ПРИСУТСТВУЮТ наряду с утверждением "iptables лучше". Ничего противоестественного не вижу.<br>Я хочу истину и вижу ее в netfilter'е. Свои взгляды я изложил.<br>Извольте оспорить, а не просто сказать "он сказал 'iptables лучше' - значит он неправ!" <br><br><br>&gt;По теме: <br>&gt;Всунуть все ip адреса в таблицу за один проход можно командой: <br>&gt;<br>&gt;ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname <br>&gt;<br>&gt;Как я понял из мана, в файл "pathname" запихиваются команды ipfw. <br><br>а вот тоже по теме: сделать это можно лишь командой ipfw, в чем собственно и наблюдаеться<br>минус спец-интерфейса.<br> Пример использования таблиц блокировки в ipfw (XoRe) https://www.opennet.me/openforum/vsluhforumID3/38720.html#27 Thu, 15 Nov 2007 01:11:11 GMT &gt;зато все равно, ИМХО, подход у iptables лучше <br><br>Я бы не стал дальше спорить после такого утверждения.<br>Когда человек в споре хочет прийти не к истине ("истина рождается в споре", а просто к удовлетворению своих желаний ("iptables/linux все равно лучше/круче"), то адекватности тут можно не ждать.<br><br>По теме:<br>Всунуть все ip адреса в таблицу за один проход можно командой:<br>ipfw [-cfnNqS] [-p preproc [preproc-flags]] pathname<br><br>Как я понял из мана, в файл "pathname" запихиваются команды ipfw.<br> Пример использования таблиц блокировки в ipfw (Nick) https://www.opennet.me/openforum/vsluhforumID3/38720.html#26 Thu, 15 Nov 2007 00:11:15 GMT &gt;Ну всё, сдаюсь... <br>&gt;Трудно объяснять идеологическую разницу между классами С++ и структурами данных со <br>&gt;скрытыми методами присвоения (a la borland с++ builder). Надоело уже, Вы, <br>&gt;Nick, не первый, и, увы, не последний :( <br><br>ах вон ты как мыслишь.<br>для тебя все, что записывает ИПшник, принимая его на входе и аж до записи во внутрений хеш - один кусок. Ну звыняй. На практике (в ядре) такие абстракции не живут. Тут нужно понимать, что методы тоже состоят из N компонент и методы взаимодествия между ними.<br><br><br>&gt;Кстати, мой пример с random тоже тихо так пустили по-боку - неудобный <br>&gt;он всё же, правда? <br><br>ну так разуваем глаза и читаем мой ответ от 2 го(!!) ноября на этот random:<br>(приведу ссылку для пущей уверенности)<br><br>http://www.opennet.ru/openforum/vsluhforumID3/38720.html#22<br><br><br>а суть моего ответа проста: если рут начитает творить х-ню - то это уже не проблема системы или ядра.<br><br>Ну а даже если спустиццо к идиотизму твоего примера - то я его пусканул, чисто поржать и тебе дать поржать.<br>Причем, заюза Пример использования таблиц блокировки в ipfw (AVK) https://www.opennet.me/openforum/vsluhforumID3/38720.html#25 Wed, 14 Nov 2007 05:32:42 GMT Ну всё, сдаюсь...<br>Трудно объяснять идеологическую разницу между классами С++ и структурами данных со скрытыми методами присвоения (a la borland с++ builder). Надоело уже, Вы, Nick, не первый, и, увы, не последний :(<br><br>Кстати, мой пример с random тоже тихо так пустили по-боку - неудобный он всё же, правда?<br> Пример использования таблиц блокировки в ipfw (Nick) https://www.opennet.me/openforum/vsluhforumID3/38720.html#24 Mon, 12 Nov 2007 01:13:34 GMT &gt;Ещё раз и медленно. Попробуйте подумать над этим. <br>&gt;<br>&gt;cat somefile &gt; /proc/net/ipt_recent/bad_guys отправляет в /proc/net/ipt_recent/bad_guys именно IP и ничего более. Все остальные данные рядом с IP во внутреннюю таблицу помещаются кодом, ответственным именно за ИНТЕРФЕЙС.<br>&gt;Интерфейс между внешним миром и внутренними структурами. <br><br>неа. За интерфейс тут отвечает VFS :)<br>open(2)<br>read(2)<br>write(2)<br>close(2)<br><br>Вот ЭТОТ интерфейс тут использован. Т.е. обычный, файловый.<br><br><br><br>&gt;В случае же отсутствия интерфейса, в случае с cat,<br><br>не обижайся, плз, но я ж говорил: "деревня"...<br>ЛЮБОЕ взаимодействие происходит через какой-нибудь интерфейс :)<br><br><br><br>&gt;никаких других данных <br>&gt;в таблицу, кроме IP помещаться не должно.<br><br>Если модуль преследует собой цель хранить лишь ИП адреса - то да, не должно.<br>Но у нас модуль, который хранит их и предоставляет еще некий функционал.<br>(если не нравяться timestamps - их количество можно свести к минимуму - 1)<br><br><br>&gt;Или мы будем должны помещать IP, ВРЕМЯ, etc. Что и будет назыв