Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Iptables + ipset  (Прочитано 1227 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Iptables + ipset
« : 11 Март 2016, 23:03:10 »
Доброго времени суток!
Подскажите, как можно добавить IP в бан лист?

Установлен denyhosts все ip стучащие на ssh банит и записывает в файл /etc/hosts.denny

так же стоит ipset
у него я создал blacklist
ipset -N blacklist iphash
пробовал вручную добавить файлы, вроде получилось и все работает.
добавил правило в IPTABLES, которое проверяет, если IP из банлиста, то дропает его.

Вопрос.

Как в IPTABLES сделать. так, что если, кто-то стучит на определенный порт, скажем 1120, сразу его IP добавлять в бан лист IPSET?
-m set --add-set вроде это нужно юзать, но, что-то не пойму, как ее прикрутить, ведь мне IP не известен, а тут нужно известный IP добавлять.... Подскажите, что делать!?
Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #1 : 11 Март 2016, 23:07:35 »
Вы хотите "вручную" сделать то, что делает fail2ban?

А, т.е. жестче, чем fail2ban.... А можно поинтересоваться, зачем?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26081
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #2 : 11 Март 2016, 23:10:03 »
Зачем вы коллекционируете адреса, которые, вероятно, никогда вам не пригодятся?
Поставьте allow только нужных и перестаньте грузить процессор хернёй.

P.S.
xt_recent, но повторяю - вы делаете дурную работу.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #3 : 11 Март 2016, 23:13:13 »
У меня так и работает, есть список доверенных адресов.
Если стучатся не из списка, то DROP.
Так пойдет?

Пользователь решил продолжить мысль 11 Март 2016, 23:15:14:
По, поводу fail2ban, как его настроить на порт mysql? Чтобы он банил, всех кто стучится на порт, если только это не whitelist IP адрессов?
« Последнее редактирование: 11 Март 2016, 23:15:14 от saifuddin »
Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #4 : 11 Март 2016, 23:17:46 »
fail2ban'у пофиг - он парсит логи. Если в логах есть событие, которое можно "вычленить" и по этой записи в логе определить IP-адрес - то это как раз для него.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26081
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #5 : 11 Март 2016, 23:21:35 »
По, поводу fail2ban, как его настроить на порт mysql?
А зачем у вас MySQL в мир смотрит? O.o
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #6 : 11 Март 2016, 23:32:08 »
да, смотрит, только по IP дропает IPTABLES, всех кто не из whitelist, SSL сертификат + юзер стоит только по определенному IP для авторизации к БД

Пользователь решил продолжить мысль [time]12 Март 2016, 00:32:46[/time]:
Galera Cluster не пригодна для SSH тунеля к примеру. Если вы сейчас за это начнете говорить.

Пользователь решил продолжить мысль 11 Март 2016, 23:41:52:
Я не пойму, а как тогда все те статьи от DDOSS атак, где используется то nginx, то ipset в связке с чем либо. Если разом начну засорять канал, как тут быть?
« Последнее редактирование: 11 Март 2016, 23:41:52 от saifuddin »
Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26081
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #7 : 12 Март 2016, 01:28:30 »
Никак. Все статьи направлены на снижение нагрузки на приложение, а не на канал.

да, смотрит, только по IP дропает IPTABLES, всех кто не из whitelist, SSL сертификат + юзер стоит только по определенному IP для авторизации к БД
VPN отменили?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #8 : 12 Март 2016, 02:52:56 »
VPN отличная идея, вот только бюджет не велик, а там слабое звено сервер, через который нужно будет все транслировать, по той или иной причине, если он ломается, накрывается вся реплика, можно его дублировать. Но, как говорил ранее, сейчас бюджет не позволяет.
Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26081
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #9 : 12 Март 2016, 03:29:50 »
Что куда транслировать?… О чём вообще речь?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #10 : 12 Март 2016, 09:55:16 »
В любом VPN есть один сервер и как минимум два клиента, которые общаются друг с другом через сервер. Все пакеты проходят через этот сервер. Если он вылетает, связь нарушается. Или вы знаете VPN у которого можно реализовать одноранговую связь? Если, так, то дайте мне знать, я все перерыл, но такой VPN найти не смог.
Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26081
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #11 : 12 Март 2016, 10:02:01 »
Чо?… У вас уже есть сервер, через который проходят пакеты. Если он вылетит, то не всё ли равно, почему?… (И, да, сервер одновременно и клиентом является, сюрприииз!!! Такая себе одноранговая связь.)

P.S.
Что-то у меня вот уже 9 часов VPN никуда не вылетает. К дождю видать?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #12 : 12 Март 2016, 14:45:54 »
Не, обязательно должен вылететь сервер VPN, достаточно накрыться самому серваку. DDos атака, питание выключили, fatal error в системе, вирус проник, да куча вариантов.
Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26081
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #13 : 12 Март 2016, 21:01:08 »
Именно. Какая разница, вылетит он при использовании VPN или без?…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 917
    • Просмотр профиля
Re: Iptables + ipset
« Ответ #14 : 12 Март 2016, 21:58:08 »
Вот любит тут народ, уходить от ответа. Спросишь, как проехать до города, а тебе расскажут, как жилось людям на диком западе без всяких iphone.

Вопрос не про VPN был в конце концов. А, про IPSET и IPTABLES.

Ubuntu 14.04 64bit | Intel Core i5-2310 CPU @ 2.90GHz |
DIMM DDR3 CMX4GX3M1A1600C9 1333MHz 12GB |Radeon HD 6750 1GB |
WDC WD10EZEX-00R 1TB

 

Страница сгенерирована за 0.059 секунд. Запросов: 24.