[FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)

[Vipper]

Ubuntu 8.04 Server

[AnrDaemon]

Боюсь, придётся ставить новое ядро.

Кстати, 2.6.32 ядра для Hardy вообще существуют, или придётся самому собирать?

[coolman]

проблема стоит очень остро, ддосят 3 день.
Заранее спасибо за ответ.

iptables -A INPUT -i $INET_IF -p tcp --dport 80 -m string --algo kmp --string "ваш текст" -j DROP
 вместо спасибо, скинь как защищаешься, и что пишешь, хочу на будущее обезопаситься.

[Vipper]

проблема стоит очень остро, ддосят 3 день.
Заранее спасибо за ответ.

iptables -A INPUT -i $INET_IF -p tcp --dport 80 -m string --algo kmp --string "ваш текст" -j DROP
 вместо спасибо, скинь как защищаешься, и что пишешь, хочу на будущее обезопаситься.

iptables -A INPUT -p tcp --dport 80 -m string --algo kmp --string "$MyNick" -j DROP
Bad argument `tcp'

Не хочет.
А защищаюсь пока с помощью кривого скрипта который парсит логи nginx  и дропает IP
Все очень криво пока, но помогает немного.

[coolman]

проблема стоит очень остро, ддосят 3 день.
Заранее спасибо за ответ.

iptables -A INPUT -i $INET_IF -p tcp --dport 80 -m string --algo kmp --string "ваш текст" -j DROP
 вместо спасибо, скинь как защищаешься, и что пишешь, хочу на будущее обезопаситься.

iptables -A INPUT -p tcp --dport 80 -m string --algo kmp --string "$MyNick" -j DROP
Bad argument `tcp'

Не хочет.
А защищаюсь пока с помощью кривого скрипта который парсит логи nginx  и дропает IP
Все очень криво пока, но помогает немного.

Нет ты не понял, меня правила интересуют, в частности что будешь писать в string, или какие другие дополнительные правила будешь делать в ходе защиты.
Возьми просто тупо скопируй мое правило(интерфейс только свой поставь) и вставь свой текст, желательно без всяких долларов ($MyNick) из-за этого может тоже.
Склоняюсь к тому, что просто где-то пробел забыл поставить или массив не указал или другое правило с ошибкой выше перебивает.

[Vipper]

На все подобные правила отвечает:

iptables -A INPUT -p tcp --dport 80 -m string --algo kmp --string "MyNick" -j DROP
iptables: No chain/target/match by that name.
iptables -A INPUT -i venet0:1 -p tcp --dport 80 -m string --string "MyNick" --algo kmp -j DROP
iptables: No chain/target/match by that name.

Поэтому защищаюсь только скриптом.
Сегодня благополучно всё отбил, пришлось правда ставить в крон задачу что бы 1 раз в час перегружался iptables
Потому как за час набиралось около 2К правил.

[AnrDaemon]

пришлось правда ставить в крон задачу что бы 1 раз в час перегружался iptables
Потому как за час набиралось около 2К правил.

Пиши такие правила в отдельную цепочку и её убивай/перезаписывай хоть каждые пять минут.

[Дмитрий Бо]

Пишущим сюда:
iptables _ CONNLIMIT — что это? баг? кривая дефолтная настройка? насколько этот вопрос сейчас актуален? Если да, то, может быть, почистить её от других вопросов? Если нет, то может её открепить/переименовать/закрыть? По-моему, тред превратился в обсуждение iptables целиком, а не конкретного "iptables _ CONNLIMIT".

[coolman]

Пишущим сюда:
iptables _ CONNLIMIT — что это? баг? кривая дефолтная настройка? насколько этот вопрос сейчас актуален? Если да, то, может быть, почистить её от других вопросов? Если нет, то может её открепить/переименовать/закрыть? По-моему, тред превратился в обсуждение iptables целиком, а не конкретного "iptables _ CONNLIMIT".

согласен, надо как-то разделить и ваще тему отдельную сделать зашита от дос, ддос, думаю очень актуально будет.

[TrEK]

Ну так здесь я это и предложил сделать... iptables - обширны... а в этом топике приделить вниманию огрничению колличества сессий и ограничения этого колличества... и .т.д.

[Rabbit007]

Никто не подскажет, откуда в iptables добавить модуль для работы с протоколом GRE ? Установил ubuntu 10.04 server, настроил iptables, но вот с протоколом gre незадача. На моё справедливое требование /sbin/modprobe ip_gre система с радостью отвечает что этот модуль ...is not installed.  А вот откуда его в систему установить, в инете ни чего не нашел. конкретно требуется найти модуль ip_conntrack_proto_gre

[AlexShap]

Подскажите пожалуйста. Почему не закрываются порты при маскардинге. Вроде бы транзитные пакеты фильтрую по портам, а все равно все приложения из внутренней сети работаю (аська и т.п.). Ядро компилил 2.6.37 Вот мой скрипт:

#!/bin/sh

ipt="/sbin/iptables -v"
ip6t="/sbin/ip6tables -v"

# Непривилегированные порты
upp="1024:65535"
# Исходящие порты, которые надо открыть
acp="21 3002 25 443 587 993 873 123"
# Входящие порты, которые надо открыть
acip="21 3002"

# Интерфейс, смотрящий наружу
eif="ppp0"
eip="`ifconfig $eif | grep 'inet addr' | awk '{print $2}' | sed 's/^\w\+://g'`"

# канал в инет
PPPIF="ppp0"
PPPIP=ifconfig $PPPIF | awk "/inet addr/{print \$2}" | tr -d "inet addr:"

# Интерфейс, смотрящий в сеть
iif="eth0"
iip="`ifconfig $iif | grep 'inet addr' | awk '{print $2}' | sed 's/^\w\+://g'`"

# Удалить все существующие правила
$ipt -F
$ipt -t nat -F
$ipt -t mangle -F
$ipt -X
$ipt -t nat -X
$ipt -t mangle -X

# По-умолчанию выбрасывать все пакеты
$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP

# Включить NAT.
# Предварительно нужно включить net.ipv4.ip_forward в /etc/sysctl.conf
$ipt -t nat -A POSTROUTING -o $eif -j MASQUERADE
$ipt -A FORWARD -i $iif -o $eif -m state --state NEW,ESTABLISHED -j ACCEPT

# Разрешить любой трафик внутри сети и по обратной петле
$ipt -A INPUT -i $iif -j ACCEPT
$ipt -A OUTPUT -o $iif -j ACCEPT
$ipt -A INPUT -d $iip -j ACCEPT
$ipt -A OUTPUT -d $iip -j ACCEPT
$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

# Разрешить пакеты, идущие по установленному соединению
$ipt -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Защита системы
$ipt -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$ipt -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
$ipt -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
$ipt -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
$ipt -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
$ipt -A INPUT -p UDP -j RETURN
$ipt -A OUTPUT -p UDP -s 0/0 -j ACCEPT
$ipt -A INPUT --fragment -p ICMP -j DROP
$ipt -A OUTPUT --fragment -p ICMP -j DROP
$ipt -A INPUT   -m state --state INVALID -j DROP
$ipt -A FORWARD -m state --state INVALID -j DROP

# Разрешить исходящие эхо-сообщения
$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type source-quench -j ACCEPT
$ipt -A OUTPUT -p icmp -m icmp -o $eif --icmp-type source-quench -j ACCEPT
$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type echo-reply -j ACCEPT
$ipt -A OUTPUT -p icmp -m icmp -o $eif --icmp-type echo-request -j ACCEPT
# Разрешить входящий ICMP-трафик
#$ipt -A INPUT -p icmp -j ACCEPT
#$ipt -A OUTPUT -p icmp -j ACCEPT

# Разрешить сообщения об ошибках через ICMP
$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type parameter-problem -j ACCEPT
$ipt -A OUTPUT -p icmp -m icmp -o $eif --icmp-type parameter-problem -j ACCEPT

$ipt -A INPUT -p icmp -m icmp -i $eif --icmp-type source-quench -j ACCEPT
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 113 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 113 -j ACCEPT ! --syn
$ipt -A INPUT -p tcp -m tcp -i $eif --dport 113 -j DROP

# Открыть исходящие порты
for outp in $acp; do
    $ipt -A OUTPUT -p tcp -m tcp -o $eif --dport $outp --sport $upp -j ACCEPT
    $ipt -A FORWARD -p tcp -m tcp -i $iif -o $eif --dport $outp -j ACCEPT
    $ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport $outp -j ACCEPT ! --syn
done

# finger, whois, gorper, wais, traceroute
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 20 -j ACCEPT
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 20 --sport $upp -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport $upp --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport $upp -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 23 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 23 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 79 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 79 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 43 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 43 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 70 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 70 -j ACCEPT ! --syn
$ipt -A OUTPUT -p tcp -m tcp -o $eif --dport 210 --sport $upp -j ACCEPT
$ipt -A INPUT -p tcp -m tcp -i $eif --dport $upp --sport 210 -j ACCEPT ! --syn
$ipt -A OUTPUT -p udp -m udp -o $eif --dport 33434:33523 --sport 32769:65535 -j ACCEPT

# Открыть входящие порты
for inp in $acip; do
    $ipt -A INPUT -p tcp -m tcp --dport $inp --sport $upp -i $eif -d $eip -j ACCEPT
    $ipt -A OUTPUT -p tcp -m tcp --sport $inp --dport $upp -o $eif -s $eip -j ACCEPT
done

# Разрешим идентификацию пользователя port 113
$ipt -A INPUT -p tcp --dport 113 --syn -m state --state NEW -j LOG --log-prefix "ACCEPT AUTH:"
$ipt -A INPUT -p tcp --dport 113 --syn -m state --state NEW -j ACCEPT


Может я не так ядро откопилил. Помогите плиз. Замучался.

[AnrDaemon]

iptables-save показывай. Мы тебе тут не онлайн-интерпретаторы.

[AlexShap]

Вот мой iptables-save. Белый айпишник я заменил на ХХХ. (У меня получается проходят транзитные пакеты от компьютера 192.168.0.10 по любому порту (пробывал закрыть 80 или 5190) всеравно проходят):

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.2 on Wed Feb 16 18:43:41 2011
*mangle
:PREROUTING ACCEPT [640270:409578250]
:INPUT ACCEPT [14887:2347862]
:FORWARD ACCEPT [614461:406387815]
:OUTPUT ACCEPT [9113:1443813]
:POSTROUTING ACCEPT [621527:407719057]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Feb 16 18:43:41 2011
# Generated by iptables-save v1.4.2 on Wed Feb 16 18:43:41 2011
*filter
:INPUT DROP [4712:877952]
:FORWARD DROP [0:0]
:OUTPUT DROP [3:204]
-A INPUT -i eth0 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p udp -m udp --dport 138 -j DROP
-A INPUT -p udp -m udp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p udp -j RETURN
-A INPUT -p icmp -f -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -i ppp0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 113 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 3002 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 587 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 993 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 873 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 123 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 20 --dport 1024:65535 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 23 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 79 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 43 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 70 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --sport 210 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -d XXX.XXX.XXX.XXX/32 -i ppp0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -d XXX.XXX.XXX.XXX/32 -i ppp0 -p tcp -m tcp --sport 1024:65535 --dport 3002 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "ACCEPT AUTH:"
-A INPUT -p tcp -m tcp --dport 113 --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 3002 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 587 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 993 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 873 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -p tcp -m tcp --dport 123 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -d 192.168.0.1/32 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -p udp -j ACCEPT
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o ppp0 -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 113 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 3002 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 587 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 993 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 873 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 123 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 20 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 23 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 79 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 43 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 70 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 1024:65535 --dport 210 -j ACCEPT
-A OUTPUT -o ppp0 -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT
-A OUTPUT -s XXX.XXX.XXX.XXX/32 -o ppp0 -p tcp -m tcp --sport 21 --dport 1024:65535 -j ACCEPT
-A OUTPUT -s XXX.XXX.XXX.XXX/32 -o ppp0 -p tcp -m tcp --sport 3002 --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Wed Feb 16 18:43:41 2011
# Generated by iptables-save v1.4.2 on Wed Feb 16 18:43:41 2011
*nat
:PREROUTING ACCEPT [38405:4005539]
:INPUT ACCEPT [2230:570952]
:OUTPUT ACCEPT [288:20888]
:POSTROUTING ACCEPT [6:556]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Feb 16 18:43:41 2011

[fisher74]

Код: [Выделить]

-A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED -j ACCEPTОно и понятно, что проходит и 80 и 5190