The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Пропуск  пакетов iptables?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Пропуск  пакетов iptables?"  +/
Сообщение от Макс (??) on 31-Июл-09, 18:00 
Помогите, пожалуйста, разобраться с такой проблемой.
Сервер на Debian атакуется (подбор паролей).
Правило iptables -I INPUT -s 208.70.0.0/16 -j DROP в общем-то работает, что видно по tcpdump, но в системном журнале иногда появляются сообщения о неправильном пароле pop3 или ssh с машины 208.70.xxx.yyy. Почему это может происходить?
Iptables v1.4.2. P-o-m не применяется, ядро последнего обновления.
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Пропуск  пакетов iptables?"  +/
Сообщение от xeon (??) on 31-Июл-09, 18:38 
>Помогите, пожалуйста, разобраться с такой проблемой.
>Сервер на Debian атакуется (подбор паролей).
>Правило iptables -I INPUT -s 208.70.0.0/16 -j DROP в общем-то работает, что
>видно по tcpdump, но в системном журнале иногда появляются сообщения о
>неправильном пароле pop3 или ssh с машины 208.70.xxx.yyy. Почему это может
>происходить?
>Iptables v1.4.2. P-o-m не применяется, ядро последнего обновления.

tcpdump захватывает пакеты с интерфейса ещё _ДО_ фильтрации

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Пропуск  пакетов iptables?"  +/
Сообщение от angra (ok) on 31-Июл-09, 19:33 
Посмотрите полный вывод iptables-save, может позже было добавлено с -I правило перекрывающее ваше. А вообще вместо ручного контроля рекомендуется поставить fail2ban. От детских болезней с регексами его вроде(я смотрел только для ssh) вылечили, но при наличии желания и умений можете сами все проконтролировать, благо все регексы в конфиге.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Пропуск  пакетов iptables?"  +/
Сообщение от Михаил (??) on 01-Авг-09, 21:45 
Нет, в iptables -L все нормально. Пропускаются единичные пакеты при массовой атаке.
Например, в логе.
Jul 30 18:58:35 sigma sshd[24504]: Did not receive identification string from 201.116.214.67
Jul 30 17:29:37 sigma sshd[23711]: Could not reverse map address 124.139.121.10.
Jul 30 13:07:22 sigma sshd[21008]: Failed password for root from 80.16.152.27 port 3491 ssh2

при том, что iptables -I INPUT -s 201.0.0.0/8 -j DROP
и тд..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Пропуск  пакетов iptables?"  +/
Сообщение от sonkilla (ok) on 01-Авг-09, 22:12 
>[оверквотинг удален]
>
>Например, в логе.
>Jul 30 18:58:35 sigma sshd[24504]: Did not receive identification string from 201.116.214.67
>
>Jul 30 17:29:37 sigma sshd[23711]: Could not reverse map address 124.139.121.10.
>Jul 30 13:07:22 sigma sshd[21008]: Failed password for root from 80.16.152.27 port
>3491 ssh2
>
>при том, что iptables -I INPUT -s 201.0.0.0/8 -j DROP
>и тд..

хмм а вам действительно необходимо чтоб ссч был открыт в мир на все адреса? если да то посмотрите в сторону во первых смену порта для ссч во вторых в сторону порт кнокинга.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Пропуск  пакетов iptables?"  +/
Сообщение от Михаил (??) on 02-Авг-09, 00:08 
Смена порта неэффективна. Дело не в ssh, аналогичная ситуация с pop3, vtun. Скорее всего, вопрос теоретический, почему такое может быть? Может быть проблемы с железом?
  
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Пропуск  пакетов iptables?"  +/
Сообщение от reader (ok) on 02-Авг-09, 12:07 
может все таки вывод iptables-save покажите
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру