Как будто кто-то лезет в комп..?

[vasil78]

Работает компьютер с Linux Дебианом в роли шлюзика для небольшой локалки. На нем squid, биллинг, веб серверок, и два 3G модема для интернета. Несколько дней как я заметил странности - никто в инете не сидит а модем работает и на него идут с интернета UDP пакеты на множество портов, а когда на домашнем компе фаервол закричал что идет сканирование портов то я присмотрелся и увидел что если им не мешать то все это кончается тем что на компьютере появляется непонятно чей открытый порт и с ним устанавливается множество ТСР соединений с различных хостов из интернета... а вот если запретить доступ на этот порт то они по очереди пытаются на него посылать пакеты, выглядит тогда это вот так...







Ну и так далее, их много.
Что это?

iptables

(Нажмите, чтобы показать/скрыть)

iptables -A INPUT -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world --destination-port 135:139 -j DROP




# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.

iptables -A FORWARD -p UDP -i $iface_world -d 255.255.255.255 --destination-port 67:68 -j DROP

# ICMP rules



# Rules for incoming packets from the internet.


iptables -A INPUT -p ALL -i $iface_world -m state --state ESTABLISHED,RELATED -j ACCEPT


# If you have a Microsoft Network on the outside of your firewall, you may
# also get flooded by Multicasts. We drop them so we do not get flooded by
# logs

iptables -A INPUT -i $iface_world -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world -d 224.0.0.0/8 -j DROP


#########
# 4.1.6 OUTPUT chain
iptables -A OUTPUT -p ALL -o $iface_world -j ACCEPT

[MaratSh]

если им не мешать то все это кончается тем что на компьютере появляется непонятно чей открытый порт и с ним устанавливается множество ТСР соединений с различных хостов из интернета... а вот если запретить доступ на этот порт то они по очереди пытаются на него посылать пакеты, выглядит тогда это вот так...

Подключения идут только к одному из компов в сети? ОС какая? Windows? На вирусы его давно проверял? Обновления ставил?

Может быть проще поставить по-умолчанию запрет на входящие,

Код: [Выделить]

iptables -P INPUT DROPа потом уже разрешать только то, что нужно?

Код: [Выделить]

iptables -A INPUT -p ALL -i $iface_world -m state --state ESTABLISHED,RELATED -j ACCEPT

[terrible_user]

torrent

[MaratSh]

torrent

botnet 

[vasil78]

MaratSh - подключения лезут на комп который шлюз в сети, на нем Дебиан. В iptables да, по умолчанию запрет на входящие   iptables -P INPUT DROP прописан.

terrible_user - В смысле кто-то качал торрент, потом резко вырубился а на него продолжали идти пакеты со всего инета? Очень похоже... но торренты пользователи качали всегда, а это началось недавно. И потом торрентовские подключения со временем отмирают а эти наоборот прогрессируют, оставил посмотреть что будет так  открылось несколько десятков подключений с инета на порт 3085 по которым что то приходило и уходило, хотя у меня в сети в то время ни один пользователь не был подключен.

Ну вот  запретил входящие с нескольких активных в этом отношении айпишников и запретил на последний открытый ими порт, некоторое время наблюдал как им в ответ идут пакеты  что мой хост недоступен а теперь пока все прекратилось...
Пользователь решил продолжить мысль 04 Августа 2010, 13:10:36:

botnet 

А что он ко мне прицепился?

[MaratSh]

В iptables да, по умолчанию запрет на входящие   iptables -P INPUT DROP прописан.

Может выложишь весь конфиг iptables? А то я вижу только это:
iptables -A INPUT -i $iface_world -d 224.0.0.0/8 -j DROP
То есть, если -destination не равен 224.0.0.0/8 - у нас ACCEPT.

оставил посмотреть что будет так  открылось несколько десятков подключений с инета на порт 3085 по которым что то приходило и уходило, хотя у меня в сети в то время ни один пользователь не был подключен.

Я правильно понял, что у тебя на шлюзе с дебианом открылся порт 3085 и появилось несколько десятков подключений из интернета? 

[vasil78]

Я правильно понял, что у тебя на шлюзе с дебианом открылся порт 3085 и появилось несколько десятков подключений из интернета?  Shocked

Точно так. Если повторится  скрин сделаю. Было так несколько раз и порт каждый раз другой.

iptables

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

# Adresa routera -------

# LAN
server0=192.168.1.254


# -----------------------

# Interfeis smotrjaschii na klientov
iface_cli=eth0

# Interfeis smotrjaschii vo vneshnii mir
iface_world=ppp0
iface_world1=ppp1


# portu na kotoruckh rabotaet konfigurator i avtorizator
conf_port=5555
user_port1=5555
user_port2=5555

# Razreshaem forvarding paketov mezhdy interfeisami
# Eta shtuka neobjazatel'na, prosto v nekotorux distributivax
# po umolchaniju forvarding razreshon, a v nekotorux - zapreschen
# Esli mu podstrakhuemsja, xuzhe ne budet
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# clear pravila fairvola
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X

# politika poumolchaniju DROP - vsem vse zaprescheno
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
################################


#########

# TCP rules

######

# In Microsoft Networks you will be swamped by broadcasts. These lines
# will prevent them from showing up in the logs.

iptables -A INPUT -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world --destination-port 135:139 -j DROP

iptables -A INPUT -i $iface_world1 -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world1 -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world1 --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world1 --destination-port 135:139 -j DROP
# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.

iptables -A FORWARD -p UDP -i $iface_world -d 255.255.255.255 --destination-port 67:68 -j DROP
iptables -A FORWARD -p UDP -i $iface_world1 -d 255.255.255.255 --destination-port 67:68 -j DROP
####
# ICMP rules



# Rules for incoming packets from the internet.


iptables -A INPUT -p ALL -i $iface_world -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p ALL -i $iface_world1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# If you have a Microsoft Network on the outside of your firewall, you may
# also get flooded by Multicasts. We drop them so we do not get flooded by
# logs

iptables -A INPUT -i $iface_world -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world -d 224.0.0.0/8 -j DROP

iptables -A INPUT -i $iface_world1 -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world1 -d 224.0.0.0/8 -j DROP
#########
# 4.1.5 FORWARD chain



#########
# 4.1.6 OUTPUT chain
iptables -A OUTPUT -p ALL -o $iface_world -j ACCEPT
iptables -A OUTPUT -p ALL -o $iface_world1 -j ACCEPT

################################
iptables -t filter -A OUTPUT -p ALL -s $server0 -j ACCEPT

# razreshaem pingam xodit' vezde i vsegda
iptables -t filter -A INPUT -p icmp -j ACCEPT
 iptables -t filter -A FORWARD -p icmp -j ACCEPT

# razreshaem vse na lokal'nom interfeise
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT


#open port for ssh
iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d $server0 --dport 22 -j ACCEPT


# DNS. Zamechu, DNS pabotaet i po TCP i po UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT


# Stargazer configurator
iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d $server0 --dport $conf_port -j ACCEPT


# UDP stargazer InetAccess
iptables -t filter -A INPUT -p udp -s 192.168.1.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT

###################
# for users flyer
iptables -t nat -A PREROUTING -s 192.168.1.110 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.1.102 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.1.103 -j ACCEPT


# transparent proxi
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 -d 192.168.1.254 --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j ACCEPT
# na globax
# iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --destination-port ! 22,53,139,5555,5900 -j REDIRECT --to-port 8000

# masquerade
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $iface_world -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $iface_world1 -j MASQUERADE

# zapusk billinga

stargazer

exit 1

[MaratSh]

vasil78 А зачем все эти "дропы" ?

(Нажмите, чтобы показать/скрыть)

iptables -A INPUT -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world --destination-port 135:139 -j DROP

iptables -A INPUT -i $iface_world1 -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world1 -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world1 --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world1 --destination-port 135:139 -j DROP

iptables -A FORWARD -p UDP -i $iface_world -d 255.255.255.255 --destination-port 67:68 -j DROP
iptables -A FORWARD -p UDP -i $iface_world1 -d 255.255.255.255 --destination-port 67:68 -j DROP

iptables -A INPUT -i $iface_world -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world -d 224.0.0.0/8 -j DROP

iptables -A INPUT -i $iface_world1 -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world1 -d 224.0.0.0/8 -j DROP

Если по умолчанию уже стоит DROP:

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

Имхо, лучше по-возможности задавать условия не через -s и -d, а через -i и -o, например твоё:

# razreshaem vse na lokal'nom interfeise
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 -d $server0 --dport 22 -j ACCEPT

Поменять на:

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

iptables -t filter -A INPUT -p tcp -o $iface_cli -d $server0 --dport 22 -j ACCEPT

Потому как подменить IP-адрес проще, чем физический сетевой интерфейс на сервере. 

Кстати, добавь так же:

# Если интерфейс не lo, то запрещаем входить в список его адресов.
iptables -t filter -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP

Пользователь решил продолжить мысль 04 Августа 2010, 20:01:31:Так же, мне не нравится это:

# razreshaem pingam xodit' vezde i vsegda
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT

Вот что по этому поводу пишут: http://www.posix.ru/network/iptables/

# ICMP - перенаправление
    # ICMP - сообщение указывает системе изменить содержимое таблиц маршрутизации с тем, что бы направлять
    # пакеты по более короткому маршруту. Может быть использовано взломщиком для перенаправления вашего трафика через свою машину.
    $IPT -A INPUT --fragment -p ICMP -j DROP
    $IPT -A OUTPUT --fragment -p ICMP -j DROP

   
Если нужен только пинг, попробуй сделать так:

iptables -t filter -A INPUT -p icmp -m icmp icmp-type echo-reply -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -m icmp icmp-type echo-reply -j ACCEPT

[vasil78]

vasil78 А зачем все эти "дропы" ?

(Нажмите, чтобы показать/скрыть)

iptables -A INPUT -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world --destination-port 135:139 -j DROP

iptables -A INPUT -i $iface_world1 -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP
iptables -A FORWARD -i $iface_world1 -p TCP -m multiport --destination-port 22,53,139,445,3128,8080,5555,5900,22222,42111 -j DROP

iptables -A INPUT -p UDP -i $iface_world1 --destination-port 135:139 -j DROP
iptables -A FORWARD -p UDP -i $iface_world1 --destination-port 135:139 -j DROP

iptables -A FORWARD -p UDP -i $iface_world -d 255.255.255.255 --destination-port 67:68 -j DROP
iptables -A FORWARD -p UDP -i $iface_world1 -d 255.255.255.255 --destination-port 67:68 -j DROP

iptables -A INPUT -i $iface_world -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world -d 224.0.0.0/8 -j DROP

iptables -A INPUT -i $iface_world1 -d 224.0.0.0/8 -j DROP
iptables -A FORWARD -i $iface_world1 -d 224.0.0.0/8 -j DROP

[/quote]А это чтоб крепче было

Я ведь еще человек в этих делах совсем начинающий. Изначально взял скрипт для iptables который был к  биллинговой программе stargazer, там он был сделан только для того чтоб пользователей без денег не пускать в сеть. а остальное все открыто было. Потом решил что ради приличия надо хотя бы закрыть со стороны интернета входящие подключения и открытые в системе порты, вот и добавил то что вы в моем манускрипте видели.

А за советы большое спасибо, я обязательно их применю!
Пользователь решил продолжить мысль 06 Августа 2010, 09:46:36:Ну вот, утром я обнаружил что пока я спал интернет не спал а открыл у меня теперь уже 40406 порт и вот как это выглядит


Добавил правило iptables -I INPUT -p tcp --dport 40406 -j REJECT