The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
" IPTABLES почему не блокируется source port ? "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

" IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 12-Мрт-15, 18:19 
вот правило: -A INPUT -p udp --sport 123 -j DROP
вот оно в --list: DROP       udp  --  anywhere             anywhere            udp spt:ntp
а вот оно в iftop:
my.ip.is.here:53                                                                  => hes.ip.is.here:123                                                                       0b      0b      0b
                                                                                   <=                                                                                    3,04Mb  2,24Mb   575Kb

т.е. траф прекрасно приходит
что я делаю не так?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Andrey Mitrofanov on 12-Мрт-15, 18:34 
> вот правило: -A INPUT -p udp --sport 123 -j DROP
> т.е. траф прекрасно приходит

Это у тебя траф неправильный. Меняй его немедленно.

> что я делаю не так?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. " IPTABLES почему не блокируется source port ? "  –1 +/
Сообщение от greenwar (ok) on 12-Мрт-15, 19:16 
> Это у тебя траф неправильный. Меняй его немедленно.

ну это первым делом
а потом то чё?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. " IPTABLES почему не блокируется source port ? "  +1 +/
Сообщение от DeerFriend on 12-Мрт-15, 20:12 
iftop показывает весь трафик, до того, как он отфильтруется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. " IPTABLES почему не блокируется source port ? "  –1 +/
Сообщение от greenwar (ok) on 12-Мрт-15, 20:24 
> iftop показывает весь трафик, до того, как он отфильтруется.

да вот чё-то не похоже, что он весь фильтруется...
мне канал кладут, засылая 123 сразу с сотен хостов
хотя 'iptables -vnL' показывает, что подропал много миллионов пакетов

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от name (??) on 13-Мрт-15, 00:42 
>> iftop показывает весь трафик, до того, как он отфильтруется.
> да вот чё-то не похоже, что он весь фильтруется...
> мне канал кладут, засылая 123 сразу с сотен хостов
> хотя 'iptables -vnL' показывает, что подропал много миллионов пакетов

Как бы вам так объяснить чтобы понятно было
У вас есть труба, и в вашу трубу кто-то льет трафик, а управлять вы можете только своим концом трубы, и в вашем кране есть давление. И от того, что вы входящий поток сливаете сразу в канализацию, в вашей трубе на входе его меньше не станет

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 01:31 
>>> iftop показывает весь трафик, до того, как он отфильтруется.
>> да вот чё-то не похоже, что он весь фильтруется...
>> мне канал кладут, засылая 123 сразу с сотен хостов
>> хотя 'iptables -vnL' показывает, что подропал много миллионов пакетов
> Как бы вам так объяснить чтобы понятно было
> У вас есть труба, и в вашу трубу кто-то льет трафик, а
> управлять вы можете только своим концом трубы, и в вашем кране
> есть давление. И от того, что вы входящий поток сливаете сразу
> в канализацию, в вашей трубе на входе его меньше не станет

ну разница то должна быть, когда траф сервисы грузит, а когда отлетает сразу

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 02:34 
я даже больше скажу: совершенно точно никто не заливает в ПУСТЫЕ порты, где сервисы отсутствуют
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Andrey Mitrofanov on 13-Мрт-15, 10:45 
> я даже больше скажу: совершенно точно никто не заливает в ПУСТЫЕ порты,
> где сервисы отсутствуют

А мпоменять --sport на --dport ?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 14:27 
>> я даже больше скажу: совершенно точно никто не заливает в ПУСТЫЕ порты,
>> где сервисы отсутствуют
> А мпоменять --sport на --dport ?

ну допустим, а логика?
у меня входящий траф со 123 порта.
я дропаю входящий траф с портом 123:
-A INPUT -p udp -m udp --sport 123 -j DROP
--dport это входящий траф НА 123
по логике
и по прочим правилам, кои я в инете рассматривал

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Andrey Mitrofanov on 13-Мрт-15, 15:15 
>>> я даже больше скажу: совершенно точно никто не заливает в ПУСТЫЕ порты,
>>> где сервисы отсутствуют
>> А мпоменять --sport на --dport ?
> ну допустим, а логика?

Нет никакой логики. Мы иуи все сидим и гадаем, чегож у тебя тм в подвале стучит.

> у меня входящий траф со 123 порта.
> я дропаю входящий траф с портом 123:
> -A INPUT -p udp -m udp --sport 123 -j DROP
> по логике
> и по прочим правилам, кои я в инете рассматривал

Да. Расскажите подробнее, что такое у Вас

"траф прекрасно приходит"
"когда траф сервисы грузит"

и почему Вы не рассматриваете забивание "трубы" (#5) паразитным трафиком? Т.name пытался сказать, что если+когда труба забита мусором, не-мусорные сервисы (соединения наружу) _будут _тормозить. И не потому, что "сервисы нагружены".

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 16:07 
> Нет никакой логики. Мы иуи все сидим и гадаем, чегож у тебя
> тм в подвале стучит.

не надо гадать. вы iptables знаете?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Andrey Mitrofanov on 13-Мрт-15, 16:50 
>> тм в подвале стучит.
> не надо гадать. вы iptables знаете?

Да, и тешу себя надеждой, что весьма на приличном уровне.

Ты, болезный, прочитал, что я в пред.сообщении чуть ниже написал, или у нас тут очередной забег вширину с негамотным фрибэсэдэшником?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 17:40 
>>> тм в подвале стучит.
>> не надо гадать. вы iptables знаете?
> Да, и тешу себя надеждой, что весьма на приличном уровне.
> Ты, болезный, прочитал, что я в пред.сообщении чуть ниже написал, или у
> нас тут очередной забег вширину с негамотным фрибэсэдэшником?

ты сходи потрахайся чтоли, курица
заебал тут жиром заливать
только стороны не перепутай
жопой назад

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Andrey Mitrofanov on 13-Мрт-15, 18:36 
>> Ты, болезный, прочитал, что я в пред.сообщении чуть ниже написал, или у
>> нас тут очередной забег вширину с негамотным фрибэсэдэшником?
> ты сходи потрахайся чтоли, курица
> жопой назад

Старичище! Сдаёшь, на #16 сдулся, суток не прошло. То ли дело по http://www.opennet.me/openforum/vsluhforumID1/94011.html?n=g... молодости-то, треды по, страшно сказать!, 30+ http://www.opennet.me/openforum/vsluhforumID9/8462.html?n=gr... месaжей забaбахивал... Жаль, жаль.

Хотя, да не монстр, те-то по 70, а то и 100 месажей переспрашивают "что-что у меня тут?", да "ой, где это я?", месяцами совершенствуются в срочных темах про fbsd.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. " IPTABLES почему не блокируется source port ? "  –1 +/
Сообщение от greenwar (ok) on 13-Мрт-15, 19:25 
так ты мой фан чтоли? персональный бесплатный счетовод моих постов лол ))
ну так бы и сказал, а то только жиром заливаешь, хуй тебя поймёшь
я теперь специально свой пердёж буду в банки складывать, чтобы тебя радовать.
ну вот ты, спец по iptables, чё ты несёшь то про --dport ?
даже я, тёмный лох, и то знаю, что нужен --sport
я, пока тут, за это время уже освоил: freeBSD, linux (ВСЕ), perl, PHP, MySQl, PgSQL, хайлоад
и освоил на хорошем уровне. я вникаю в детали, в отличии от 95% планктона, который делает "и так сойдёт" и боится "что-то не так спросить".
написал несколько CRM-систем, разных сайтов-сервисов, парсеров, серверов настроил кучу самых разных.
магазин свой и сайт знакомств планирую делать
вот для игрового хостинга проблемку решаю. силён в том, с чем сталкиваюсь каждый день, а с ддосом вот не сталкивался пока, "повезло". но я и его зарулю. точнее уже зарулил, просто не спешу деньгами разбрасываться.
а ты чё?
ничему ты блять не научился за всё это время, как был жирным троллем, так им и остался. а теперь, от осознания своей ничтожности, бессильно брызжешь желчью.
сдристни в туман.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от name (??) on 13-Мрт-15, 19:51 
странно, такой крутой уокер, а до сих пор не может понять как работает простая труба.
что-то тут не так
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Дядя_Федор on 14-Мрт-15, 12:45 
Экий сказочный дурачок. :))))
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от name (??) on 14-Мрт-15, 15:28 
> я даже больше скажу: совершенно точно никто не заливает в ПУСТЫЕ порты,
> где сервисы отсутствуют

Странно, а ваш пример показывает обратное

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от PavelR (??) on 13-Мрт-15, 11:47 
>> iftop показывает весь трафик, до того, как он отфильтруется.
> да вот чё-то не похоже, что он весь фильтруется...
> мне канал кладут, засылая 123 сразу с сотен хостов
> хотя 'iptables -vnL' показывает, что подропал много миллионов пакетов

Предполагаю:
У вас уязвимый ntpd и это не ВАМ канал кладут, А ВАМИ пытаются каналы класть.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 14:22 
>>> iftop показывает весь трафик, до того, как он отфильтруется.
>> да вот чё-то не похоже, что он весь фильтруется...
>> мне канал кладут, засылая 123 сразу с сотен хостов
>> хотя 'iptables -vnL' показывает, что подропал много миллионов пакетов
> Предполагаю:
> У вас уязвимый ntpd и это не ВАМ канал кладут, А ВАМИ
> пытаются каналы класть.

у меня нет ntpd

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от PavelR (??) on 13-Мрт-15, 17:24 
>> Предполагаю:
>> У вас уязвимый ntpd и это не ВАМ канал кладут, А ВАМИ
>> пытаются каналы класть.
> у меня нет ntpd

ну тогда 146% кладут канал именно ВАМ.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 17:43 
>>> Предполагаю:
>>> У вас уязвимый ntpd и это не ВАМ канал кладут, А ВАМИ
>>> пытаются каналы класть.
>> у меня нет ntpd
> ну тогда 146% кладут канал именно ВАМ.

так я вижу, что мне кладут, сервер то недоступен )
хочу понять, есть ли шанс сделать так, чтобы не клали, не привлекая фильтры у хостера на железе.
вообще вопрос изначально стоял так: почему я траф со 123 порта вижу в iftop, когда он заблочен
при этом вижу и в счётчике iptables заблоченные миллионы пакетов
но если iftop ДО iptables, то понятно

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от Дядя_Федор on 14-Мрт-15, 12:47 
> так я вижу, что мне кладут, сервер то недоступен )
> хочу понять, есть ли шанс сделать так, чтобы не клали, не привлекая
> фильтры у хостера на железе.

Нет шансов. Никаких. Вообще. Уже человек пять пытаются втолковать эту простейшую истину. И про трубы уже рассказали и про место iptables в сетевом стеке - а всё никак.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 19:12 
в общем 2 атаки по ~5 мин выглядят так в 'iptables -nvL':
num   pkts bytes target     prot opt in     out     source               destination        
1      18M 8602M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123

до этого там чисто было

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от name (??) on 13-Мрт-15, 20:00 
>[оверквотинг удален]
> in     out     source
>            
>    destination
> 1      18M 8602M DROP    
>    udp  --  *    
>   *       0.0.0.0/0  
>           0.0.0.0/0
>           udp
> spt:123
> до этого там чисто было

8GB/(10m*60s)*8bit=0.1
у вас 100мбит канал, который вам уложили в полку?

8602/18 пакеты по 478 байт

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. " IPTABLES почему не блокируется source port ? "  +/
Сообщение от greenwar (ok) on 13-Мрт-15, 20:33 
> 8GB/(10m*60s)*8bit=0.1
> у вас 100мбит канал, который вам уложили в полку?
> 8602/18 пакеты по 478 байт

всё верно

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру