OVH Community, your new community space.

Iptables ( Problem )


dzimi
29-03-2012, 08:05
Cytat Napisał spo0lsh
problem odnaleziony ... coś między krzesłem a klawiaturą
poczytaj o connlimit i jak dodać (tutaj HINT: zaufane) IP do whitelisty
na pewno ? A może to problem z conntrackiem ?
On nie sprecyzował dokładnie jaki ma problem... co to znaczy że się wszystkie porty blokują ? Na pewno wszystkie się blokują a nie tylko wybrane ? Czy po SSH jesteś w stanie się tam dostać ?
Co masz w logach ?
Connlimit na tcp nie ma aż tak bardzo "ograniczającego".

szpakuziom
29-03-2012, 04:48
Jest to za dużo pracy a ja zabardzo na to czasu nie mam ( Praca na budowie ), tutaj coś wystarczy poprostu zmienić/usunąć, czy ktoś mi powie co tutaj nie gra ? Pozdrawiam. Po 8 godzinach blokuje mi wszystkie porty, nawet shh

spo0lsh
23-03-2012, 18:08
problem odnaleziony ... coś między krzesłem a klawiaturą
poczytaj o connlimit i jak dodać (tutaj HINT: zaufane) IP do whitelisty

szpakuziom
22-03-2012, 16:15
On też nie wie po czym stoi problem ;/

Widmo
22-03-2012, 09:08
a kolega co na to?

szpakuziom
22-03-2012, 04:07
Witam,

Niedawno atakowali mnie dos'em, postanowiłem nie stać w miejscu, tylko zabezpieczyć swojego linuxa, kolega zrobił mi zabezpieczenia, lecz po 6-10 godzinach wszystkie porty na Serwerze sie blokują i nie mam dostępu do dedyka, czy ktoś mógłby pomóc i znaleść błąd? oto moje regółki:

Plik: iptables.up.RULES

# Generated by iptables-save v1.4.8 on Tue Mar 6 17:04:51 2012
*mangle
:PREROUTING ACCEPT [28852:3465212]
:INPUT ACCEPT [28850:3464934]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [66012:8777924]
:POSTROUTING ACCEPT [66012:8777924]
COMMIT
# Completed on Tue Mar 6 17:04:51 2012
# Generated by iptables-save v1.4.8 on Tue Mar 6 17:04:51 2012
*nat
:PREROUTING ACCEPT [41:5302]
:POSTROUTING ACCEPT [3:180]
:OUTPUT ACCEPT [3:180]
COMMIT
# Completed on Tue Mar 6 17:04:51 2012
# Generated by iptables-save v1.4.8 on Tue Mar 6 17:04:51 2012
*raw
:PREROUTING ACCEPT [28857:3465649]
:OUTPUT ACCEPT [66015:8778386]
COMMIT
# Completed on Tue Mar 6 17:04:51 2012
# Generated by iptables-save v1.4.8 on Tue Mar 6 17:04:51 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
:syn-flood - [0:0]
:thyl-icmp-flood - [0:0]
:thyl-udp-flood - [0:0]
:udp_ddos - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -m connlimit ! --connlimit-above 20 --connlimit-mask 32 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -m length --length 3000:65535 -j DROP
-A INPUT -p tcp -m tcp --dport 10011 -m length --length 1000:65535 -j DROP
-A INPUT -p udp -m udp --dport 9987 -m connlimit --connlimit-above 4 --connlimit-mask 32 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --dport 9987 -m connlimit ! --connlimit-above 4 --connlimit-mask 32 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10011 -m connlimit --connlimit-above 3 --connlimit-mask 32 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 10011 -m connlimit ! --connlimit-above 3 --connlimit-mask 32 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG ACK -j LOG --log-prefix "ACK scan: "
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG ACK -j DROP
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j LOG --log-prefix "FIN scan: "
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG PSH -j LOG --log-prefix "Xmas scan: "
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m conntrack --ctstate INVALID -m tcp ! --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "Null scan: "
-A INPUT -p tcp -m conntrack --ctstate INVALID -m tcp ! --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 60:65535 -m limit --limit 1/sec -j LOG --log-prefix "Ping: "
-A INPUT -p icmp -m icmp --icmp-type 8 -m length --length 60:65535 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 135:139 -j DROP
-A INPUT -p tcp -m tcp --dport 135:139 -j DROP
-A INPUT -p udp -m udp --dport 7 -j DROP
-A INPUT -p udp -m udp --dport 19 -j DROP
-A INPUT -p tcp -m multiport --dports 3784 -j fail2ban-ssh
-A INPUT -p udp -m limit --limit 1/min -j LOG --log-prefix "UDP-SPAM " --log-ip-options
-A INPUT -p udp -m pkttype --pkt-type broadcast -j DROP
-A INPUT -p udp -m limit --limit 10/sec -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Ping: "
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:"
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name DEFAULT --rsource -m tcp --dport 25 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --set --name DEFAULT --rsource -m tcp --dport 25
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name DEFAULT --rsource -m tcp --dport 21 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --set --name DEFAULT --rsource -m tcp --dport 21
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name DEFAULT --rsource -m tcp --dport 110 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --set --name DEFAULT --rsource -m tcp --dport 110
-A INPUT -s 208.167.0.0/16 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 68.232.0.0/16 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 85.25.120.233/32 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -s 91.121.157.44/32 -p tcp -m tcp --dport 10011 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5454 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 41144 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 30033 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3784 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 953 -j ACCEPT
-A INPUT -p udp -m udp --dport 953 -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --set --name SSH --rsource -m tcp --dport 3784
-A INPUT -i eth0 -p tcp -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --rttl --name SSH --rsource -m tcp --dport 3784 -j DROP
-A INPUT -p tcp -m limit --limit 1/sec -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j RETURN
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -d 91.121.157.44/32 -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p icmp -m limit --limit 1/sec -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -j udp_ddos
-A INPUT -p icmp -j thyl-icmp-flood
-A INPUT -p udp -j thyl-udp-flood
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "Firewall> Null scan "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m recent --set --name blacklist_60 --rsource -m comment --comment "Drop/Blacklist Null scan" -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "Firewall> XMAS scan "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "Firewall> XMAS-PSH scan "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "Firewall> XMAS-ALL scan "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m recent --set --name blacklist_60 --rsource -m comment --comment "Drop/Blacklist Xmas/PSH scan" -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m recent --set --name blacklist_60 --rsource -m comment --comment "Drop/Blacklist Xmas scan" -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m recent --set --name blacklist_60 --rsource -m comment --comment "Drop/Blacklist Xmas/All scan" -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "Firewall> FIN scan "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m recent --set --name blacklist_60 --rsource -m comment --comment "Drop/Blacklist FIN scan" -j DROP
-A INPUT -p tcp -m multiport --dports 23,79 -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG SYN -m limit --limit 3/min -j LOG --log-prefix "Firewall>SYN scan trap:"
-A INPUT -p tcp -m multiport --dports 23,79 -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG SYN -m recent --set --name blacklist_180 --rsource -j DROP
-A INPUT -p udp -m limit --limit 6/hour --limit-burst 1 -m length --length 0:28 -j LOG --log-prefix "Firewall>0 length udp "
-A INPUT -p udp -m length --length 0:28 -m comment --comment "Drop UDP packet with no content" -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A FORWARD -m limit --limit 3/hour -j LOG
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 15/min -j LOG --log-prefix "Firewalled packet:"
-A FORWARD -j LOG
-A FORWARD -p tcp -m limit --limit 1/sec -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -p tcp -m limit --limit 1/sec -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j ACCEPT
-A FORWARD -p icmp -m limit --limit 1/sec -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -s 91.121.157.44/32 -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fail2ban-ssh -j RETURN
-A syn-flood -m limit --limit 1/sec --limit-burst 4 -j RETURN
-A syn-flood -m limit --limit 1/sec --limit-burst 4 -j LOG --log-prefix "SYN-flood: "
-A syn-flood -j DROP
-A thyl-icmp-flood -m limit --limit 4/sec --limit-burst 8 -m comment --comment "Limit ICMP rate" -j RETURN
-A thyl-icmp-flood -m recent --set --name blacklist_180 --rsource -m comment --comment "Blacklist source IP" -j DROP
-A thyl-udp-flood -m limit --limit 10/sec --limit-burst 20 -m comment --comment "Limit UDP rate" -j RETURN
-A thyl-udp-flood -m recent --set --name blacklist_180 --rsource -m comment --comment "Blacklist source IP" -j DROP
-A udp_ddos -p udp -m hashlimit --hashlimit-upto 5/min --hashlimit-burst 15 --hashlimit-mode srcip --hashlimit-name udp_ddos -j ACCEPT
-A udp_ddos -p udp -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP
-A udp_ddos -p udp -j DROP
COMMIT
# Completed on Tue Mar 6 17:04:51 2012



Pozdrawiam, Szpaku