помогите с iptables

[staff_nowa]

ясна спасибо
Пользователь решил продолжить мысль 06 Октября 2010, 13:50:16:а нету такой возможности как логировать в отдельный файл, а не в syslog ?

[Mam(O)n]

а нету такой возможности как логировать в отдельный файл, а не в syslog ?

Нужно настраивать сислог демона. На 10.04 по умолчанию это rsyslog.

[bubuntu-ru]

Ну или ulog использовать, вместо log.

[staff_nowa]

вот ещё такой вопрос где храниться список IP вот этой комманды
iptables -m recent ?

[Mam(O)n]

В оперативной памяти. Отражение таблиц можно считать с /proc/net/xt_recent/. Судя по исходникам модуля, есть некий интерфейс по управлению записями таблицы в формате +ip для добавления записи, -ip для убирания записи и / для обнуления таблицы. Эти команды нужно писать в файл-отражение, например echo / | sudo tee /proc/xt_recent/DEFAULT

[staff_nowa]

вопрос про вот это

Код: [Выделить]

/sbin/iptables -A ssh_knock -m recent --name ssh --update --seconds 600 --hitcount 5 -j RETURN
/sbin/iptables -A ssh_knock -m recent --name ssh ! --rcheck --seconds 5 --hitcount 2 -j RETURN
стучимся на ssh первый раз блокируем, второй раз пропускаем.
После выключения ssh через комунду exit связ прерываем, но войти не можем

Как можно сделать чтобы при удачном подключении очищать свои попытки (IP) адреса на вход ?
Пользователь решил продолжить мысль 09 Октября 2010, 12:27:54:что ни кто не знает как правильно очистить если соединение удалось

[Mam(O)n]

Создать два файла (/etc/profile.d/ssh_recent.sh и /etc/profile.d/ssh_recent.sudo) со следующим содержанием:

Код: (/etc/profile.d/ssh_recent.sh) [Выделить]

sudo /etc/profile.d/ssh_recent.sudo $SSH_CLIENT


Код: (/etc/profile.d/ssh_recent.sudo) [Выделить]

#!/bin/bash
F=/proc/net/xt_recent/ssh
if [ -e $F ]; then
    A=$(awk '/^[0-9]+\./{print $1}' <<< $1)
    [ ! -z "$A" ] && echo "-$A" > $F
    true
else
    echo "WARNING: ssh in xt_recent not found!" >&2
    false
fi
Проставить на них режимы доступа с помощью следующих команд:

Код: [Выделить]

sudo chmod 644 /etc/profile.d/ssh_recent.sh
sudo chmod 755 /etc/profile.d/ssh_recent.sudo
Запустить редактор с помощью команды:

sudo EDITOR=мой_любимый_текстовый_редактор visudo -f /etc/sudoers.d/ssh_recent

и добавить в открытый на редактирование файл следующую строчку:

Код: [Выделить]

ALL ALL = NOPASSWD: /etc/profile.d/ssh_recent.sudoГлавное проследить, чтобы после строчки в файле был перевод строки, иначе файл не примется, как валидный.

Вроде как всё...

[staff_nowa]

Ребята что тут не так

Код: [Выделить]

#!/bin/sh

#flush the old rules
/sbin/iptables -F #очищаем все цепочки filter
/sbin/iptables -F -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X
/sbin/iptables -X -t nat
/sbin/iptables -X -t mangle

echo Old Rules Flushed

#set default policy
/sbin/iptables -P INPUT DROP #В качестве действия по умолчанию устанавливаем DROP - блокирование пакета
/sbin/iptables -P OUTPUT ACCEPT #Разрешаем все исходящие пакеты

#create new chain (BAD_PACKETS)
/sbin/iptables -N BAD_PACKETS

#Создаём цепочку для проверки попыток соединений на защищённый порт
#/sbin/iptables -N ssh_brute_check

/sbin/iptables -N BANNED #Заблокированные пользователи

/sbin/iptables -A INPUT -j BANNED

#jump to BAD_PACKETS
/sbin/iptables -A INPUT -j BAD_PACKETS

#allow the loopback
/sbin/iptables -A INPUT -i lo -j ACCEPT

#Ко всем пакетам, которые относятся к уже установленным соединенимя, применяем терминальное действие ACCEPT - пропустить
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Все попытки открыть новое соединение по SSH направляем на проверку
#/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ssh_brute_check

#Все попытки открыть новое соединение по SSH направляем на проверку
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 22 -j ACCEPT

#Здесь можно разрешать те порты, для которых такая проверка не нужна.
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 80 -j ACCEPT

# allow DHCP
/sbin/iptables -A INPUT -p UDP --dport 68 --sport 67 -j ACCEPT

#allow ICMP replies from specified hosts (ping)
/sbin/iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT

#log
/sbin/iptables -A INPUT -j LOG --log-prefix "INPUT DROP: "

#drop BAD_PACKETS
/sbin/iptables -A BAD_PACKETS -p TCP ! --syn -m conntrack --ctstate NEW -j DROP
/sbin/iptables -A BAD_PACKETS -p TCP --tcp-flags ALL ALL -j DROP
/sbin/iptables -A BAD_PACKETS -p TCP --tcp-flags ALL NONE -j DROP
/sbin/iptables -A BAD_PACKETS -p TCP --tcp-flags ALL SYN \-m conntrack --ctstate ESTABLISHED -j DROP
/sbin/iptables -A BAD_PACKETS -p ICMP --fragment -j DROP
/sbin/iptables -A BAD_PACKETS -m conntrack --ctstate INVALID -j DROP
/sbin/iptables -A BAD_PACKETS -d 255.255.255.255 -j DROP
/sbin/iptables -A BAD_PACKETS -j RETURN

#drop BANNED

echo "Rules written."

после установки скрипта ubuntu 9 сервер показал ошибку и связь полностью пропалп. Перед этим успел увидеть что-то про таблицу nat/
Кто с этим сталкивался ? после сервер не доступен. Второй раз не эксперементировал, так как сервер дают перегружать раз в 5 минут

[Mam(O)n]

Если это vds то nat там может просто не быть и по этому ругается. По остальному, возможно, что пакеты стали застревать в цепочке BAD_PACKETS.

[staff_nowa]

а как проверить nat есть или нету :?

а по сути правильная настройка пакетов ?

[Mam(O)n]

а как проверить nat есть или нету :?

Если sudo iptables -t nat -L ругнется, то нету

а по сути правильная настройка пакетов ?

По сути в BAD_PACKETS не вникал, а если это отбросить то ничего криминального.

[staff_nowa]

да вот ругнулся

http://s49.ЗАПРЕЩЁННЫЙ РЕСУРС/i123/1010/93/a20cf1deb841.jpg

[Mam(O)n]

Что и требовалось доказать... На большинстве vps отключают nat..

[staff_nowa]

Что и требовалось доказать... На большинстве vps отключают nat..

я даже не знал
Пользователь решил продолжить мысль 10 Октября 2010, 13:09:54:убрал nat и вот другая ошибка http://s48.ЗАПРЕЩЁННЫЙ РЕСУРС/i120/1010/be/e1b26536db0a.jpg

[Mam(O)n]

Да, систему они тебе порезали по самый не балуй. Даже moddep резанули.

Есть подозрение, что conntrack тоже вырезан, проверь: iptables -m conntrack -h

ЗЫ. Радикал -УГ.. Лучше осиль копипасту из терминала.