форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Пропуск  пакетов iptables?"		+/–
Сообщение от Макс (??) on 31-Июл-09, 18:00
Помогите, пожалуйста, разобраться с такой проблемой. Сервер на Debian атакуется (подбор паролей). Правило iptables -I INPUT -s 208.70.0.0/16 -j DROP в общем-то работает, что видно по tcpdump, но в системном журнале иногда появляются сообщения о неправильном пароле pop3 или ssh с машины 208.70.xxx.yyy. Почему это может происходить? Iptables v1.4.2. P-o-m не применяется, ядро последнего обновления.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Пропуск  пакетов iptables?"		+/–
Сообщение от xeon (??) on 31-Июл-09, 18:38
>Помогите, пожалуйста, разобраться с такой проблемой. >Сервер на Debian атакуется (подбор паролей). >Правило iptables -I INPUT -s 208.70.0.0/16 -j DROP в общем-то работает, что >видно по tcpdump, но в системном журнале иногда появляются сообщения о >неправильном пароле pop3 или ssh с машины 208.70.xxx.yyy. Почему это может >происходить? >Iptables v1.4.2. P-o-m не применяется, ядро последнего обновления. tcpdump захватывает пакеты с интерфейса ещё _ДО_ фильтрации
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Пропуск  пакетов iptables?"		+/–
Сообщение от angra (ok) on 31-Июл-09, 19:33
Посмотрите полный вывод iptables-save, может позже было добавлено с -I правило перекрывающее ваше. А вообще вместо ручного контроля рекомендуется поставить fail2ban. От детских болезней с регексами его вроде(я смотрел только для ssh) вылечили, но при наличии желания и умений можете сами все проконтролировать, благо все регексы в конфиге.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Пропуск  пакетов iptables?"		+/–
	Сообщение от Михаил (??) on 01-Авг-09, 21:45
	Нет, в iptables -L все нормально. Пропускаются единичные пакеты при массовой атаке. Например, в логе. Jul 30 18:58:35 sigma sshd[24504]: Did not receive identification string from 201.116.214.67 Jul 30 17:29:37 sigma sshd[23711]: Could not reverse map address 124.139.121.10. Jul 30 13:07:22 sigma sshd[21008]: Failed password for root from 80.16.152.27 port 3491 ssh2 при том, что iptables -I INPUT -s 201.0.0.0/8 -j DROP и тд..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Пропуск  пакетов iptables?"		+/–
	Сообщение от sonkilla (ok) on 01-Авг-09, 22:12
	>[оверквотинг удален] > >Например, в логе. >Jul 30 18:58:35 sigma sshd[24504]: Did not receive identification string from 201.116.214.67 > >Jul 30 17:29:37 sigma sshd[23711]: Could not reverse map address 124.139.121.10. >Jul 30 13:07:22 sigma sshd[21008]: Failed password for root from 80.16.152.27 port >3491 ssh2 > >при том, что iptables -I INPUT -s 201.0.0.0/8 -j DROP >и тд.. хмм а вам действительно необходимо чтоб ссч был открыт в мир на все адреса? если да то посмотрите в сторону во первых смену порта для ссч во вторых в сторону порт кнокинга.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Пропуск  пакетов iptables?"		+/–
	Сообщение от Михаил (??) on 02-Авг-09, 00:08
	Смена порта неэффективна. Дело не в ssh, аналогичная ситуация с pop3, vtun. Скорее всего, вопрос теоретический, почему такое может быть? Может быть проблемы с железом?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Пропуск  пакетов iptables?"		+/–
	Сообщение от reader (ok) on 02-Авг-09, 12:07
	может все таки вывод iptables-save покажите
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема