Автор Тема: iptables -t filter -A INPUT (Прочитано 5301 раз)

remonik · « : 29 Июня 2011, 16:03:35 »

Доброго дня коллеги
Вопрос такой по таблице filter (версия иптаблеса 1.4.6)
вот цепочки по идеи должен быть перекрыт порт https
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m state --state NEW -m recent --set --name HTTPS -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 8 --rttl --name HTTPS -j LOG --log-prefix "HTTPS_BRUTFORCE: "
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 8 --rttl --name HTTPS -j DROP

но не фига толку нет как заходы из вне есть так и есть

fisher74 · « **Ответ #1 :** 29 Июня 2011, 16:16:04 »

Это все цепочки INPUT? Пожете все правила этой цепочки показать?
И признаться я вижу, что пакеты по 443 порту разрешены. Как минимум первый точно пройдёт.
Ну при неторопливом траффике работа дропаться тоже не будет.

remonik · « **Ответ #2 :** 29 Июня 2011, 16:48:39 »

спасибо за ответ
мне нужна просто защита от брутфорса но путём именно дропа иптаблеса а не путём апача

terrible_user · « **Ответ #3 :** 29 Июня 2011, 16:53:15 »

Поменяешь порт 22 на 443 и будет тебе счастье

(Нажмите, чтобы показать/скрыть)

а может и нет, каждая картинка и т.п. - это же все новые коннекты, хз может 20-30 запросов в мин надо указать

AnrDaemon · « **Ответ #4 :** 29 Июня 2011, 18:55:33 »

Netfilter:
-A INPUT -i eth1 -p tcp -m multiport --dports 9,22,23,25,110,4899,3389 -m conntrack --ctstate NEW -j SSH_CHECK
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable

SSHd:
AllowRootLogin No
MaxStartups 2

И пусть ломятся. ФЛАГ В РУКИ!!!

remonik · « **Ответ #5 :** 30 Июня 2011, 07:28:49 »

попробывал оба варианта не прокатило $:-\$
остановился пока на этом откаментите пож чё не так сваял
iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 5 --rttl --name HTTPS -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 5 --rttl --name HTTPS -j LOG --log-prefix "HTTPS_BRUTFORCE: "
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 6 --rttl --name HTTPS -j DROP
первая цепка присваевается имя второвая говарит что в 1 минуту не более пяти пакетов третья логипование четвёртая если более пяти то дроп
где я ложанулся?

terrible_user · « **Ответ #6 :** 30 Июня 2011, 07:58:37 »

Цитата: remonik от 30 Июня 2011, 07:28:49

попробывал оба варианта не прокатило $:-\$
остановился пока на этом откаментите пож чё не так сваял
iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 5 --rttl --name HTTPS -j ACCEPT
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 5 --rttl --name HTTPS -j LOG --log-prefix "HTTPS_BRUTFORCE: "
iptables -t filter -A INPUT -i eth1 -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 6 --rttl --name HTTPS -j DROP
первая цепка присваевается имя второвая говарит что в 1 минуту не более пяти пакетов третья логипование четвёртая если более пяти то дроп
где я ложанулся?

Где то в самом начале, попробуй еще раз авось прокатит (только выложи полный список правил куда ты вставил пример)

У тебя первое правило разрешает установку соединения во всех случаях,
а второе правило разрешает соединения только после 5 попыток )))
последняя 6 тоже должна быть 5

p/s а зачем нужно --rttl ?

remonik · « **Ответ #7 :** 30 Июня 2011, 08:46:29 »

поставил почти в начало после пингов
поправил щя везде 4 пакета стоит

Пользователь решил продолжить мысль 30 Июня 2011, 11:13:54:

ни фига парни не канает друзья проверяют из других регионов ни фига грузится страница по десять раз к ряду

AnrDaemon · « **Ответ #8 :** 30 Июня 2011, 12:44:54 »

При чём тут страница?...
Ты вообще в курсе про такую вещь как Http Keep-Alive ?

remonik · « **Ответ #9 :** 30 Июня 2011, 13:00:53 »

страница с авторизацией висит на 443 порту https надо сделать так 3 подключения апосля разрыв соеденения вот и всё

alexxnight · « **Ответ #10 :** 01 Июля 2011, 01:55:33 »

Цитата: remonik от 30 Июня 2011, 07:28:49

iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT

У Вас первое же правило запоминает того, кто пытается соединиться (-m recent --set --name HTTPS) и тут же пускает соединение (-j ACCEPT).
таких соединений можно открыть ...много

Уберите хотя бы -j ACCEPT

Вообще, защита от bruteforce немного по другому делается...

AnrDaemon · « **Ответ #11 :** 01 Июля 2011, 02:48:09 »

Цитата: alexxnight от 01 Июля 2011, 01:55:33

Цитата: remonik от 30 Июня 2011, 07:28:49
iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT

У Вас первое же правило запоминает того, кто пытается соединиться (-m recent --set --name HTTPS) и тут же пускает соединение (-j ACCEPT).
таких соединений можно открыть ...много

Уберите хотя бы -j ACCEPT

Вообще, защита от bruteforce немного по другому делается...

Забавно, как человек может через зад скопировать практически готовый рабочий вариант.
Я даже как-то не обратил внимания.

remonik · « **Ответ #12 :** 01 Июля 2011, 06:07:16 »

Цитата: AnrDaemon от 01 Июля 2011, 02:48:09

Цитата: alexxnight от 01 Июля 2011, 01:55:33
Цитата: remonik от 30 Июня 2011, 07:28:49
iptables -t filter -A INPUT -i eth1 -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT

У Вас первое же правило запоминает того, кто пытается соединиться (-m recent --set --name HTTPS) и тут же пускает соединение (-j ACCEPT).
таких соединений можно открыть ...много

Уберите хотя бы -j ACCEPT
спасибо за совет мудрый совет не спорю но подскажите что же тогда поставить замест ACCEPT?

Вообще, защита от bruteforce немного по другому делается...

Забавно, как человек может через зад скопировать практически готовый рабочий вариант.
Я даже как-то не обратил внимания.

Пользователь решил продолжить мысль 01 Июля 2011, 06:12:55:

Отлично коллега а теперь скажите пожалуйста что поставить замест ACCEPT?

victor00000 · « **Ответ #13 :** 01 Июля 2011, 08:06:11 »

man iptables | grep "\-D,"

fisher74 · « **Ответ #14 :** 01 Июля 2011, 08:18:28 »

victor00000, вообще-то remonik спросил не как удалить правило, а ЧЕМ его заменить.

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables -t filter -A INPUT (Прочитано 5301 раз)

remonik

iptables -t filter -A INPUT

fisher74

Re: iptables -t filter -A INPUT

remonik

Re: iptables -t filter -A INPUT

terrible_user

Re: iptables -t filter -A INPUT

AnrDaemon

Re: iptables -t filter -A INPUT

remonik

Re: iptables -t filter -A INPUT

terrible_user

Re: iptables -t filter -A INPUT

remonik

Re: iptables -t filter -A INPUT

AnrDaemon

Re: iptables -t filter -A INPUT

remonik

Re: iptables -t filter -A INPUT

alexxnight

Re: iptables -t filter -A INPUT

AnrDaemon

Re: iptables -t filter -A INPUT

remonik

Re: iptables -t filter -A INPUT

victor00000

Re: iptables -t filter -A INPUT

fisher74

Re: iptables -t filter -A INPUT