1.2, Новодворская (?), 12:16, 18/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
это просто фееричный пинцет...
| |
|
2.12, Andrey Mitrofanov (?), 20:38, 18/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
Вас очень смущает http:/openforum/vsluhforumID10/4466.html#7 то, что вы чего-то http:/openforum/vsluhforumID10/4466.html#11 не понимаете, и Вы хотите об этом пого^Wвсем нам рассказать?
| |
|
3.31, що (?), 02:41, 15/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
ну какбэ и школьник понимает что остальные правила просто не будут отрабатыватсья после пинцета
| |
|
|
1.4, Pahanivo (ok), 14:05, 18/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
...
и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP, и спустя пару месяцев сильно и долго удивляемся почему глючит эфтипишник ))
некоторые типы ICMP надо бы тоже пропускать чтобы не разводить тараканов на пустом месте ...
| |
|
2.5, Аноним (-), 14:15, 18/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
в каком году уважаемый видел последний раз фтп сервер в активном режиме?
| |
|
3.7, Pahanivo (ok), 15:35, 18/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>в каком году уважаемый видел последний раз фтп сервер в активном режиме?
>
ежедневно, просто щас много народу торчит в сеть напрямую с паблик айпи и проблема не такая явная, но она сеть )
| |
|
4.9, KdF (??), 16:59, 18/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
Да-да, особенно если учесть дыру в хелпере активного FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть, можно пожелать удачи в использовании активного FTP и дальше.
| |
|
5.13, Andrey Mitrofanov (?), 20:49, 18/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть
Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?
| |
|
6.19, pavlinux (ok), 15:12, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>FTP в netfilter и других stateful-фильтрах, приводящую к пробросу портов во внутреннюю сеть
>
>Не просветите ссылочкой? Желательно с рецензией кого из авторой netfilter (ну, на худой какого "другого stateful-фильтра") -- мол, признаю, да, есть, работает при таких-то условиях. Статья на LWN, kernelnewbies, обсуждениев LKML - тоже подойдёт. Прошу! Желательно не из прошлого :> века, не "сенсационные результаты британских учёных"?
Ты чаво, такую тему пропустил!!! Пред Новым годом было
http://www.opennet.me/opennews/art.shtml?num=24832
| |
|
7.21, Andrey Mitrofanov (?), 19:22, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Ты чаво, такую тему пропустил!!! Пред Новым годом было
Угу, прощёлкал... Видимо принял за британских учёных с фороникса. :/
| |
|
|
|
|
|
2.10, User294 (ok), 18:46, 18/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,
И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но чреват побочными эффектами, при том еще большой вопрос от кого будет хуже - от этих спецэффектов или от сканов портов (а собственно какой от них вред, по большому счетй?).
| |
|
3.17, Pahanivo (ok), 14:46, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>и пареллельно ГЛУШИМ ВЕСЬ АКТИВНЫЙ FTP,
>
>И весь софт динамически использующий порты, типа SIPов всяких. Guide забавен но
>чреват побочными эффектами, при том еще большой вопрос от кого будет
>хуже - от этих спецэффектов или от сканов портов (а собственно
>какой от них вред, по большому счетй?).
ны дык я привел самый распространненый и злободневный пример ))
изначально понятно что данный метод параноя на гране маразма ...
| |
|
|
1.8, pavlinux (ok), 16:35, 18/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
nmap -f -sSV 192.168.20.1 -e eth1 -P0 -p 109-112 -S 192.168.20.2 --ip-options "\x44\x24\x05\x03\192\168\20\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4\127\0\0\1\x00*4" --send-eth;
Interesting ports on 192.168.20.1:
PORT STATE SERVICE VERSION
109/tcp closed pop2
110/tcp closed pop3
111/tcp filtered rpcbind
112/tcp closed mcidas
MAC Address: 00:A0:D1:53:B0:EA (Inventec)
Опа, фильтрует...
| |
1.11, Square (ok), 20:04, 18/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
# любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд,
# на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов
и отправив пакет от имени этого адреса - легко организуем DOS для него
| |
1.14, Egenius (??), 12:21, 19/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не понимаю зачем так изощряться, а не сделать проще - сначала открыть все необходимые порты, а затем последним правилом отбрасывать всё, что не разрешено, например таким правилом:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
"
| |
1.15, ffsdmad (ok), 12:32, 19/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересный пример, с точки зрения применения модуля -m recent --rcheck --seconds 120 --name FUCKOFF
но как смысл в блокировании на 120 секунд того кто ломится на не открытый порт?
| |
|
2.16, Andrey Mitrofanov (?), 13:29, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Интересный пример
>но как смысл в
Если Вы почитаете страничку (google.ru + "-m recent") модуля recent, то с удивлением узнаете, что:
1/ это штатное его применение описанное автором---
2/ смысл не в "блокировании" просто абы кого, а блокировании тех, кто, типа, ломился (более трёх раз за 120с)+++
| |
|
3.18, pavlinux (ok), 14:56, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
> (более трёх раз за 120с)
1. А где написано про "более трёх раз"?
2. --hitcount 3 надо добавлять
3. И не раз, а не более x TCP пакетов c флагом NEW
А при сканировании можно ведь и не указывать NEW
А так же есть ip spoofing указав, например
for ((i=192; i < 224; i++)); do for ((j=1; i < 255; i++)); do nmap -sSRV 77.234.201.242 -p 1-35 -S 77.234.$i.$j -e eth0 -P0 --send-eth -mtu 8 -f; done; done;
Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.
| |
|
4.20, Аноним (-), 17:35, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Повесим opennet и за компанию весь Saint-Petersburg State University of Information Technologies.
Вам для этого нужно быть в одной подсети с ними, либо надеяться на тупость всех транзитных провайдеров что бы они пропустили через свои сети spoofed IP адреса от пользователей.
| |
|
5.24, syd (?), 11:36, 20/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
Ха! Это вам надо надеяться на вменяемость всех транзитных провайдеров, что они не пропустят пакеты с подложными адресами.
По сабжу - параноидальный бред, который рождает кучу гемороя.
| |
|
|
|
2.23, adm (??), 21:56, 19/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
Смысл в сокрытии демона, статья помечена такой меткой в блоге :)
альтернативный пример использования описаного метода
sshd вешаем на нестандартный порт 5173
прописываем такие правила
iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp ! --dports 5173 -m recent --set --name FUCKOFF -j DROP
теперь почти не реально узнать есть ли на удаленной хосте что нибудь или нет
| |
|
3.26, reminux (?), 23:22, 20/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
Хорошо придумано.
Но по-моему можно еще проще: вторую строку записать как
iptables -A INPUT -m recent --set --name FUCKOFF -j DROP
и поставить в самом конце цепочки INPUT. Тогда все пакеты, которые не были пойманы ни одним вышестоящим правилом, будут попадать на нее. И не надо будет возиться с исключениями вида "! --dport 5173".
| |
|
|
1.22, Basiley (ok), 21:27, 19/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
изобретаем PSAD ?
или что-то типа FWSnort ?
автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
| |
|
2.25, koffu (??), 22:39, 20/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>изобретаем PSAD ?
>или что-то типа FWSnort ?
>автору - поставьте задачу ТОЧНЕЕ, пожалуйста.
У себя так делаю, только на 22м порту с MaxAuthTries 1 и --syn --hitcount 2 --seconds 500 -j DROP
а перед ним --state ESTABLISHED,RELATED -j ACCEPT
А еще можно поизвращаться в виде сброса 60% пакетов.
Есть также есть технология port knocking.
| |
|
3.29, Basiley (ok), 22:46, 21/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
IMHO, агрессивно(не в смысле включения контратак(поддерживается но не рекомендуется и это ТруЪ), а в смысле чувствительности)настроенный PSAD - закрывает 80% ниболее зло..х проблем.
вместе с блэклистами сетей из известных ресурсов и proxy-файрволом(внумчиво настроив анализ содержимого(!!)пакетов в последних) - нешуточно облегчает жизнь.
про "поизвращаться" - если есть ресурсы(хотя бы 1(один прописью)ненужный неновый ПК), можно редиректить все в "песочницу" отдельного хоста с лютой эмуляцией "прогиба" внутри и генерацией(заведомо интересных)ресурсво "на лету".
как опция - в песочницу QEMU/EMC VMWare чтонить подобное бросить.
| |
|
|
|