Не работает DROP ssh iptables

[sough]

Всем приветики.
Прописал на серве:

Код: [Выделить]

iptables -A INPUT -s 87.253.88.347 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROPОднако облом, ssh открыт для всех. Что я не правильно делаю?

[fisher74]

Что я не правильно делаю?

В первую очередь предоставляете информацию. То что Вы "прописали" и то что реально в правилах netfilter не всегда одно и то же.
Показывайте sudo iptables-save

[sough]

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.7 on Fri Apr 22 17:28:50 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [662:114303]
:acctboth - [0:0]
:cP-Firewall-1-INPUT - [0:0]
:cphulk - [0:0]
-A INPUT -j cphulk
-A INPUT -j cP-Firewall-1-INPUT
-A INPUT -j acctboth
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 87.253.88.347/32 -j ACCEPT
-A INPUT -s 187.78.77.78/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -p tcp -m tcp --dport 2086 -j DROP
-A INPUT -p tcp -m tcp --dport 2087 -j DROP
-A FORWARD -j cP-Firewall-1-INPUT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j acctboth
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 993 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2082 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2078 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2077 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 26 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 995 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2086 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2079 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2080 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2087 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2095 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 465 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2096 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A cP-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 2083 -j ACCEPT
-A cP-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A cphulk -s 57.118.224.111/32 -m state --state NEW -m time --datestop 2016-04-22T17:17:54 --utc -j DROP
-A cphulk -s 183.3.202.200/32 -m state --state NEW -m time --datestop 2016-04-22T17:27:05 --utc -j DROP
-A cphulk -s 57.118.111.234/32 -m state --state NEW -m time --datestop 2016-04-22T17:41:44 --utc -j DROP
COMMIT
# Completed on Fri Apr 22 17:28:50 2016
# Generated by iptables-save v1.4.7 on Fri Apr 22 17:28:50 2016
*nat
:PREROUTING ACCEPT [436:60805]
:POSTROUTING ACCEPT [532:33043]
:OUTPUT ACCEPT [532:33043]
COMMIT
# Completed on Fri Apr 22 17:28:50 2016

Как-то так

Правила форума

1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тега [spоiler]...[/spоiler], либо прикреплять к сообщению в виде отдельного файла.

Я уже отредактировал сообщение в соответствии с правилами.

--www777

[fisher74]

А вот и виновник "торжества"

Код: [Выделить]

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

Код: [Выделить]

sudo iptables -D INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

[sough]

Это да, но таким образом совсем перестаёт пускать, даже с разрешённого ip.
Пользователь добавил сообщение 22 Апреля 2016, 20:25:32:И 2 других запрещённых порта также продолжают пускать.
Я хз, в чём проблема.

[Punko]

sough, я не гений netfilter, но мне кажется, что проблема в порядке правил.
То есть, сначала всё дропните на 22, а уже ниже разрешите с нудного адреса.

[fisher74]

но таким образом совсем перестаёт пускать, даже с разрешённого ip.

Если Вы убираете только указанное мною правило, то не может такого быть. Так как правило
-A INPUT -s 87.253.88.347/32 -j ACCEPT
разрешает этому IP-у соединяться любым способом.

То есть, сначала всё дропните на 22, а уже ниже разрешите с нудного адреса.

Строго наоборот.

[Punko]

fisher74, а почему так? То есть, сначала мы разрешили с определённого адреса, а потом запретили всем?


Интересно именно то, почему правило на дроп всех пакетов не перезаписывает правило на ассерт определённого.

[fisher74]

НЕ моё, конечно, дело, но ИМХО у Вас netfilter настроен, мягко говоря паршиво.
Одной пользовательской цепочкой (cphulk) пытаетесь что-то заткнуть (хотя это похоже на какую-то утилиту автобана), другой (cP-Firewall-1-INPUT) - разрешаете и без того разрешённый трафик (дефолтное правило ACCEPT).
Давать какие-либо консультации по защите одного сервиса здесь очень сложно.

Точно сработает такие команды

Код: [Выделить]

sudo iptables -I INPUT -s 87.253.88.347 -p tcp --dport 22 -j ACCEPT
sudo iptables -I INPUT 2 -p tcp --dport 22 -j DROPНО ЭТО КОСТЫЛЬНОЕ РЕШЕНИЕ
Пользователь добавил сообщение 22 Апреля 2016, 22:07:08:

То есть, сначала мы разрешили с определённого адреса, а потом запретили всем?

Конкретно в предложенной ТС варианте, да. Именно так.

почему правило на дроп всех пакетов не перезаписывает правило на ассерт определённого.

Ни какое правило ничего не перезаписывает. Они выстраиваются цепочкой в том порядке, в котором их вводят (если конечно в команде добавления не указана конкретная позиция правила в цепочке)
Действия DROP и ACCEPT являются терминирующими действиями, поэтому после их отработки обработка цепочки прекращается.
То есть если срабатывает только первое правило срабатывающее по условию (это касается только терминирующих действий)

[Punko]

fisher74, а, всё, я понял.
Пакет прверяется на каждое правило, и если попадается первое правило, которое он удовлетворяет, то его пихают дальше, на следующую цепочку.
Если таких правил, которые подходят к пакету не находится, тогда к нему применяется Policy для цепочки.
Вот теперь верно?
И знал же, просто думать не захотел Спасибо!

[fisher74]

Вот теперь верно?

Да. Но повторюсь: вывод из цепочки происходит только при терминирующих действиях (ACCEPT, DROP, REDIRECT, REJECT, DNAT, SNAT, MASQUERADE...)

[Punko]

fisher74, спасибо, надо будет почитать про не терминирующие действия.
И тогда еще один вопрос - почему нельзя поставить policy REJECT?
приходится городить ACCEPT, а потом уже в правиле прописывать REJECT всех пакетов.

[fisher74]

А зачем Вам REJECT ВСЕХ пакетов?
Действие DROP создаёт меньше нагрузки на ядро и сеть.
REJECT будет отсылать ICMP Port Unreachable на каждый "пук". А оно нам надо? Так ведь можно свой uplink положить, например на ADSL-соединении.

[Punko]

fisher74, да, за нагрузку я понимаю.
Но например, если пакет DROP, то ответ не пришёл к отправителю и он будет стучаться дальше.
А если REJECT, то мы отправили ответ - не стучись, меня тут нет.

Если будет какой-то flood идти, то после получения icmp ответа о недоступности этот flood не прекратится?

Я делаю reject всех непонятных пакетов и создаю список правил с АССЕРТ. Например, для портов приложения на этом сервере и для ssh.

Или это вреднее, чем постоянно DROP пакетов, которые идут при какой-нибудь flood атаке?

[fisher74]

Для обычной ситуации, какое из этих действий использовать почти не важно.
Но в случае атаки, REJECT в дефолте быстрее уложит Ваш сервант.

А так-то, каждый сходит с ума по своему.