sslug-teknik team mailing list archive

["Martin Møller Skarbiniks Pedersen" <traxplayer@xxxxxxxxx>]

On 08/10/2007, Jeppe Koefoed <jeppe@xxxxxxx> wrote:
> Hej Per

> > Grunden til jeg har valgt dette -var mere at jeg syntes det er irreterende
> > med alle de mennesker der konstant prøver at logge ind på en SSH port. Så
> > for ,min side syntes jeg dette var nemmere - og man slipper for extremt
> > mange logfiler omkring det der foregår.
> Korrekt. Jeg har lavet et lille script som henter disse angreb fra logfilen
> og tilføjer afsender ip til en drop iptables regel. Så stopper disse forsøg
> hurtigt.
> Jeg har også lavet en whitelist fra de ip som jeg selv ved jeg kommer fra,
> da man jo kan taste sit password forkert...

Hvad med flg. istedet for:

-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m
recent --update --seconds 60 --hitcount 4 --name DEFAULT --rsource -j
DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW -m
recent --set --name DEFAULT --rsource

-A INPUT -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW -m
recent --update --seconds 60 --hitcount 4 --name DEFAULT --rsource -j
DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 21 -m state --state NEW -m
recent --set --name DEFAULT --rsource

Det skulle gerne stoppe alle ip'er, der prøver at forbinde til port 21
(ftp) og 22 (ssh) mere end fire gange på et minut.

Jeg havde mange problemer med tusindvis af forsøg med ftp som
username: administrator. Det er ihvertfald stoppet nu.

Mvh
Martin

/Martin




>
> > Eftersom jeg forstår 1 til 1 NAT - så bliver ALT bare sendt videre til
> > maskinen ? Det var lidt det jeg ikke var interesseret i - Men om det er
> Ja, men kun hvis der er en iptables filter regel som tillader det.
>
> > mig der har en totalt forkert opfattelse af hvor det skal stoppees henne
> > eller om jeg laver tingene fuldstændigt forskruet - det må man da gerne
> > fortælle mig? Men derfor er det også at jeg har lagtr mit script således
> > at folk kan læse dette - og sige om det er sindssygt det jeg har lavet -
> > eller hamrende forkert - eller den rigtige måde!
> Det er vel ikke forkert, men jeg tror at de fleste vil give mig ret i at
> overskuelighed er vigtigt når man skal undgå fejl. Og sikkerhed er vel bl.a.
> om at undgå fejl.
> Normalt ville jeg kun benytte port-nat hvis der skal laves noget specielt -
> f.eks. havde min kammerat en router som nattede dns forkert. Og kun dns, da
> den forsøgte at være "intelligent". Så vi nattede til en anden port end 53
> så routeren ikke forstod dette som dns og kørte hans dns på port 10053
> istedet.
> En anden grund kunne f.eks. være hvis man ikke har lov til at køre ssh ud
> igennem firmaet's firewall, men https er som altid tilladt (suk). Så kunne
> man lave port-nat så port 443 nattes til 22.
>
> > Jeg har ikke på den her måde leget med Flere statiske IP'er så derfor
> > spørger jeg?
> Men der er ikke så stor forskel på en eller flere IP'er. Bortset fra hvis du
> kommer fra kun at have én på din maskine til at have en på maskinen og nogle
> routet (hvilket jo er tilfældet). Måske derfor at du er blevet forvirret.
>
> >> Virker din nye server udefra ?
> > Nej
> Så kig med tcpdump hvad der sker - slå evt. logning til med iptables.
>
> >> Virker din nye server indefra - med den interne ip eller den eksterne ip
> >> ?
> > Ja men kan kun pinge ud til f.eks google eller lign. Men sætter jeg en
> > maskine på internt fra - så kan jewg ikke bruge browsere mm - kan faktisk
> > kun pinge ud.
>
> Jeg tænkte om du kunne nå din nye interne maskine (pluto?) fra en anden
> intern maskine (DMZ?) med den interne adresse(på pluto) i browseren fra DMZ.
>
> > Jeg ved ikke om du har læstr de tidligere - men dui kan se hele mit script
> > på http://linux.pbj-design.dk/IPTABLES.TXT
> Nej ;-)
> Sjovt som andres scripts er "underlige" at se igennem - når man er vant til
> sit eget system.
> Du kan se en ældre version af mit script her:
> http://www.sslug.dk/sikkerhed/netfilter2.html
> Der er ingen lan to pluto chain ? Jeg er faktisk begyndt blot at lave
> afsnittene i min forward chain istedet for dedikerede chains. Men det er jo
> en smagssag
>
> > Men jeg er meget taknemmelig over du rent faktisk forklarer dig ret godt -
> > så jeg håber ikke at jeg spørger for dumt eller lign!
> Det er fint - og tak. Men man skal jo også lige forstå hvad den anden
> misforstår...
>
> /Jeppe
>
>
>
>


-- 
"All general statements are false."
"If atheism is a religion, then not collecting stamps is a hobby."

A: Fordi det ændrer rækkefølgen folk normalt kommunikerer på.
Q: Hvorfor er top-svar en dårlig ting?
A: Top-svar.
Q: Hvad er det mest irriterende i e-mail?

"We are all atheists about most of the gods that humanity
has ever believed in.  Some of us just go one god further."