iptables -t filter -A INPUT

[remonik]

Почему бан, ограничение так сказать.

луче режек (REJECT)

[AnrDaemon]

Я тебе привёл рабочий вариант.
В чем проблема переписать его без ошибок и просто попробовать?

спасибо канечно, блин но я же сказал что не работает

Так ты через задницу написал.

веть в отличие от веба допустим все вышеперечисленные правила будут легитимны и приемлемы для ссш потому как там соеденение открывается только после ввода пароля  пока авторизация не прошла идёт только запрос на соеденение

Тычокурил? Убери этот идиотизм с глаз.

[alexxnight]

вапрос один, друг мой ты сам то это проверял? работает?

эх, молодежь, молодежь....
по синтаксису же видно, что это кусок из рабочего кода...

веть в отличие от веба допустим все вышеперечисленные правила будут легитимны и приемлемы для ссш потому как там соеденение открывается только после ввода пароля  пока авторизация не прошла идёт только запрос на соеденение(гениально сделанно если чё) в апаче, каманче и прочих веб-серверах и веб-мордах соеденение же считается открытым на порт когда загружается страница с просьбой ввести логин и пароль. И поэтому пытаться лочить соедение по примеру того же ssh просто глупо будет либо тупо убиваться соеденение в самом начале и не будет грузится страница с авторизацией либо соедение будет открыватся и висеть без проблем. Из сего нужно написать правило которое просто будет дропать соеденение на порт (80,443) по времени то есть не успел авторизоватся допустим за 20 секунд будешь дропать тя на 5 минут скажем второй раз не успел то 15 третий раз не успел 25 четвёртый на сутки. По моему это логично

теперь я кажется понял, что Вам нужно. Да, описанные здесь методы подходят для другого, не для того, что Вы написали... С помощью одного iptables это не решить...

[remonik]

вапрос один, друг мой ты сам то это проверял? работает?

эх, молодежь, молодежь....
по синтаксису же видно, что это кусок из рабочего кода...

веть в отличие от веба допустим все вышеперечисленные правила будут легитимны и приемлемы для ссш потому как там соеденение открывается только после ввода пароля  пока авторизация не прошла идёт только запрос на соеденение(гениально сделанно если чё) в апаче, каманче и прочих веб-серверах и веб-мордах соеденение же считается открытым на порт когда загружается страница с просьбой ввести логин и пароль. И поэтому пытаться лочить соедение по примеру того же ssh просто глупо будет либо тупо убиваться соеденение в самом начале и не будет грузится страница с авторизацией либо соедение будет открыватся и висеть без проблем. Из сего нужно написать правило которое просто будет дропать соеденение на порт (80,443) по времени то есть не успел авторизоватся допустим за 20 секунд будешь дропать тя на 5 минут скажем второй раз не успел то 15 третий раз не успел 25 четвёртый на сутки. По моему это логично

теперь я кажется понял, что Вам нужно. Да, описанные здесь методы подходят для другого, не для того, что Вы написали... С помощью одного iptables это не решить...

за молодёжь отдельное спасибо (лет 15 с плечь долой )
хотелось бы одним иптаблесом обойтись дабы не лезсть в дебри апачей-каманчей-ингинсов и прочих там индейцев-космополитов

[Гарри Кашпировский]

-s 192.168.2.204/32,192.168.2.203/32 -d 192.168.2.201/32 -i eth1 -p tcp --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT, жестко правда :]

Это в каких цепочках такой синтаксис и какая версия iptables?

[remonik]

-s 192.168.2.204/32,192.168.2.203/32 -d 192.168.2.201/32 -i eth1 -p tcp --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT, жестко правда :]

Это в каких цепочках такой синтаксис и какая версия iptables?

ну на сколько я понял это мне коллега советует перекрыть именно так 443 порт
версия 1,4,6 иптаблеса

[Гарри Кашпировский]

Вопрос как раз был автору процитировнного сообщения.
А ответ дан был в четвёртом посте треда - осталось только поменять правила на неоходимые порты. Понятное дело, правила не должны перекрываться другими.

(Нажмите, чтобы показать/скрыть)

Код: (iptables-save -t filter) [Выделить]

root@router:~# iptables-save -t filter
# Generated by iptables-save v1.4.4 on Sat Jul  2 17:46:37 2011
*filter
:INPUT ACCEPT [1359842629:348963208142]
:FORWARD ACCEPT [504765618:352294425683]
:OUTPUT ACCEPT [1845068223:1791874388182]
:SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
-A SSH -m recent --set --name ssh_brute --rsource
-A SSH -m recent --update --seconds 180 --hitcount 3 --name ssh_brute --rsource -j DROP
COMMIT
# Completed on Sat Jul  2 17:46:37 2011
root@router:~# Это касается ssh, но ведь никто не мешает сделать и для https?

[remonik]

Это я понял, вопрос как раз был автору процитировнного сообщения.
А ответ дан был в четвёртом посте треда - осталось только поменять правила на неоходимые порты. Понятное дело, правила не должны перекрываться другими.

(Нажмите, чтобы показать/скрыть)

Код: (iptables-save -t filter) [Выделить]

root@router:~# iptables-save -t filter
# Generated by iptables-save v1.4.4 on Sat Jul  2 17:46:37 2011
*filter
:INPUT ACCEPT [1359842629:348963208142]
:FORWARD ACCEPT [504765618:352294425683]
:OUTPUT ACCEPT [1845068223:1791874388182]
:SSH - [0:0]
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j SSH
-A SSH -m recent --set --name ssh_brute --rsource
-A SSH -m recent --update --seconds 180 --hitcount 3 --name ssh_brute --rsource -j DROP
COMMIT
# Completed on Sat Jul  2 17:46:37 2011
root@router:~# Это касается ssh, но ведь никто не мешает сделать и для https?

оке
у меня вот такие цепки стоят сейчас из работающих
iptables -t filter -A INPUT -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -m limit --limit 3/minute -m recent --update --seconds 60 --hitcount 10 --rttl --name HTTPS -j LOG --log-level debug --log-prefix "HTTPS_BRUTFORCE: "
iptables -t filter -A OUTPUT -p tcp --dport 443 -m recent --update --seconds 60 --hitcount 10 --rttl --name HTTPS -j REJECT

правила стоят в самом верху скрипта

[Гарри Кашпировский]

Я видел эти правила, сравни их с правилами AnrDaemon и с моим примером, есть некоторые отличия, не правда ли? Не хватает как минимум еще одного правила.

[AnrDaemon]

у меня вот такие цепки стоят сейчас из работающих
iptables -t filter -A INPUT -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT

ИМЕННО ЭТО ПРАВИЛО МЕШАЕТ КОНСТРУКЦИИ РАБОТАТЬ.
Когда ты уже поймёшь?

[Гарри Кашпировский]

А какая политика у цепочки INPUT? Если оно DROP, то правило само по себе нужное.
Вот поэтому и просят выкладку iptables-save.

[AnrDaemon]

@KT315, само правило нужно, не нужно -j ACCEPT в нём.
Я сам с этим намучался, пока не понял свою ошибку.

[bubuntu-ru]

-s 192.168.2.204/32,192.168.2.203/32 -d 192.168.2.201/32 -i eth1 -p tcp --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT, жестко правда :]

Это в каких цепочках такой синтаксис и какая версия iptables?

v1.4.8

[Гарри Кашпировский]

Спасибо, обновил до 1.4.10, синтаксис пошёл

[remonik]

у меня вот такие цепки стоят сейчас из работающих
iptables -t filter -A INPUT -m state --state NEW -p tcp --dport 443 -m recent --set --name HTTPS -j ACCEPT

ИМЕННО ЭТО ПРАВИЛО МЕШАЕТ КОНСТРУКЦИИ РАБОТАТЬ.
Когда ты уже поймёшь?

я убирал это правило вообще и сталил дроп но толку всё по фихх