Автор Тема: debian, iptables  (Прочитано 3944 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн OmIkRoNiXz

  • Пользователь
  • **
  • Сообщений: 74
  • Рейтинг: 1
    • Просмотр профиля
debian, iptables
« : 05 февраля 2011, 14:48:33 »
Посоветуйте как организовать такое дело, имеется машинка на ней бегает всякое разное в том числе SSH через которое ну рулится она, так вот иногда нужно заблокировать извне к ней доступ для некоторых засранцев, спрашивал у гуру про нуль-руты сказали это извращение и порекомендовали юзать правильные инструменты типа iptables, но вот задачка, добавил я значит в чистый не тронутый iptables пару вот таких вот правил:
iptables -A INPUT -s 62.65.218.245 -j DROP

потом как написано в мане запустил iptables-save мне выдало вот такое:
# Generated by iptables-save v1.4.2 on Sat Feb  5 07:39:15 2011
*filter
:INPUT ACCEPT [1040:112608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [580:65038]
-A INPUT -s 140.128.0.0/13 -j DROP
-A INPUT -s 62.65.218.245/32 -j DROP
COMMIT
# Completed on Sat Feb  5 07:39:15 2011

значит как я понимаю меня впринципе эти правила в таком виде устраивают типа разрешено всё отовсюду и всюду кроме вот тех DROP которые я пропишу в INPUT всё хорошо но вот теперь хочу сделать так чтобы эти правила при перезагрузке сохранялись и наверное хранить ип кого забанил есть смысл без лишнего текста, в голову пришла только такая мысля типа сделать скрипт "псевдокод" (/etc/network/if-pre-up.d/iptables):

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.rules

foreach drop.list as IP
   iptables -A INPUT -s $IP -j DROP
endforeach

где в iptables.rules навсякий случай наверное стоит хранить что-то типа

*filter
:INPUT ACCEPT [1040:112608]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [580:65038]
COMMIT

или как посоветуют гуру ?

Оффлайн myst

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 8
  • Пол: Мужской
    • mistiq.master@gmail.com
    • mistiq.master
    • Просмотр профиля
  • Откуда: Владивосток
Re: debian, iptables
« Ответ #1 : 05 февраля 2011, 14:59:31 »
Тебе уже ответили. Про нуль роуты забудь. Они не для этого.
Есть куча утилит которые мониторят ssh активность и банят в соответствии с настройками.
Смотри в сторону sshguard итп.

А вообще есть большая доля вероятности что эти самые "засранцы" это тупо боты занимающиеся брутфорсом.

Политики безопасности паролей + sshd на не стандартном порту с легкостью решают эту проблему.
К примеру мой пароль при современных вычислительных мощностях будет подбираться ~1000 лет.
٩(●̮̮̃•̃)۶

Оффлайн OmIkRoNiXz

  • Пользователь
  • **
  • Сообщений: 74
  • Рейтинг: 1
    • Просмотр профиля
Re: debian, iptables
« Ответ #2 : 05 февраля 2011, 15:04:09 »
Дело не в SSH, на сервер крутятся куча игровых серверов так вот я собираюсь написать скрипт анализа их логов и оттуда брать засранцев которые подбирают "RCON" пароли к этим игровым серверам, они на столько шустрыми стали что создают лишнюю нагрузку.

Оффлайн myst

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 8
  • Пол: Мужской
    • mistiq.master@gmail.com
    • mistiq.master
    • Просмотр профиля
  • Откуда: Владивосток
Re: debian, iptables
« Ответ #3 : 05 февраля 2011, 15:16:47 »
Все просто, в iptables есть такое понятие как таблицы.
Скрипт анализирующий логи, просто добавляет в таблицу описанную в правиле DROP очередного хулюгана.
И все.
٩(●̮̮̃•̃)۶

Оффлайн OmIkRoNiXz

  • Пользователь
  • **
  • Сообщений: 74
  • Рейтинг: 1
    • Просмотр профиля
Re: debian, iptables
« Ответ #4 : 05 февраля 2011, 15:31:14 »
Что-то до таблицу пока не дошёл, а правильно ли я понял что я могу спокойно оставить как есть правила по дефолту на ACCEPT!? И правильно ли добавлять скрипт восстановление правил в pre-up или в post-up :?

Оффлайн myst

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 8
  • Пол: Мужской
    • mistiq.master@gmail.com
    • mistiq.master
    • Просмотр профиля
  • Откуда: Владивосток
Re: debian, iptables
« Ответ #5 : 05 февраля 2011, 15:36:00 »
Что-то до таблицу пока не дошёл, а правильно ли я понял что я могу спокойно оставить как есть правила по дефолту на ACCEPT!? И правильно ли добавлять скрипт восстановление правил в pre-up или в post-up :?
Хрен его знает, ниразу в жизни не пользовался IPTABLES  :D
Читай документацию по твоей системе.
٩(●̮̮̃•̃)۶

Оффлайн Sem

  • Постоялец
  • ***
  • Сообщений: 207
  • Рейтинг: 2
    • Просмотр профиля
  • Откуда: СПб
Re: debian, iptables
« Ответ #6 : 13 февраля 2011, 17:23:49 »
С iptables работал давно на красной шапке и аналогах, на скока помню правила грузились автоматом при старте через егоный скрипт типа /etc/init.d/iptables start.

По умолчанию лучше политику делать запретительную =), а дальше правилами разрешать только нужное.

Оффлайн myst

  • Постоялец
  • ***
  • Сообщений: 372
  • Рейтинг: 8
  • Пол: Мужской
    • mistiq.master@gmail.com
    • mistiq.master
    • Просмотр профиля
  • Откуда: Владивосток
Re: debian, iptables
« Ответ #7 : 14 февраля 2011, 00:55:25 »
Запретительная политика по умолчаю не обязательна. Это глупость которую копипастят из howto в howto люди мало понимающие зачем это надо.
٩(●̮̮̃•̃)۶

Оффлайн OmIkRoNiXz

  • Пользователь
  • **
  • Сообщений: 74
  • Рейтинг: 1
    • Просмотр профиля
Re: debian, iptables
« Ответ #8 : 14 февраля 2011, 08:20:50 »
На freenode дали ещё вот такие советы:

-20:33:56- [MK_FG]: OmIkRoNiXz, Первым правилом добавь --state RELATED,ESTABLISHED -j ACCEPT, чтобы их не проверяло
-20:34:04- [MK_FG]: OmIkRoNiXz, А вторым - ipset
-20:32:10- [novns]: OmIkRoNiXz, лучше REJECT вместо DROP

но потом я показал сколько примерно трафика должно фильтроваться и тогда сказали мне тестировать пока есть возможность производительность :D