Автор Тема: [ РЕШЕНО]iptables  (Прочитано 446 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kerogaz

  • Пользователь
  • *
  • Сообщений: 15
[ РЕШЕНО]iptables
« : 01 Июня 2021, 08:08:49 »
У меня есть такая строка в правилах
4    6107  357K ACCEPT     all  --  *      *       80.0.0.0/8           0.0.0.0/0 Как можно посмотреть какие конкретно ip проходят? Я в логах не нашел подобных сведений. Мне нужно открыть  только 2 ip но поскольку я не знаю их , то  приходится открывать весь сегмент. А это полохо, ботнеты пытаются активно   войти и забивают своими запросами ssh
« Последнее редактирование: 01 Июня 2021, 10:14:54 от kerogaz »
 

Оффлайн endru

Re: iptables
« Ответ #1 : 01 Июня 2021, 08:33:44 »
по логам входа ssh нельзя посмотреть?
/var/log/auth.log - там найти успешные логи и посмотреть с каких они адресов.
от ботов существует fail2ban.

Оффлайн kerogaz

  • Пользователь
  • *
  • Сообщений: 15
Re: iptables
« Ответ #2 : 01 Июня 2021, 09:16:16 »
Нет там. Потому что это мониторинг сервера со стороны другого сайта . Фактически нужные ip не входят в систему а только какие-то данные считывают.  Сайт мониторит с помощью ресурса ARC http://www.nordugrid.org/arc/arc6// Посмотрю в логах ARC. 
« Последнее редактирование: 01 Июня 2021, 09:27:35 от kerogaz »
 

Оффлайн endru

Re: iptables
« Ответ #3 : 01 Июня 2021, 09:22:34 »
Ждите экстрасенсов. Нет четкого вопроса!!! А тыкать пальцем, имея простой счетчик, занятие такое себе...

Оффлайн kerogaz

  • Пользователь
  • *
  • Сообщений: 15
Re: iptables
« Ответ #4 : 01 Июня 2021, 09:38:34 »
Вопрос четкий. iptables показывает что через цепочку   INPUT проходят пакетыjот какого-то ip из  сегмента 80.0.0.0/8. Как их вычислть. В логах нет ничего . Если например кто-то из ботнета или какой-то пользвательпытается войти  то сразу в логах  auth  появляются сообщения . А когда из мониторингового сайта то ничего нет. Я специально обнуляю чтобы проследить iptables --zero.  У меня политика iptables запретить всё разрешить некоторые .

А логах arc только
[2021-06-01 09:48:18] [InfosysHelper] [INFO] [8027] Notification received from A-REX's infoprovider
[2021-06-01 09:48:18] [InfosysHelper] [VERBOSE] [8027] Using ldif generator script: /var/run/arc/infosys/ldif-provider.sh
[2021-06-01 09:48:29] [InfosysHelper] [VERBOSE] [8238] New fifo created: /var/run/arc/infosys/ldif-provider.fifo
[2021-06-01 09:48:29] [InfosysHelper] [INFO] [8238] Start waiting for notification from A-REX's infoprovider

Вот думаю tcpdump запустить и посмотреть
« Последнее редактирование: 01 Июня 2021, 09:57:54 от kerogaz »
 

Оффлайн endru

Re: iptables
« Ответ #5 : 01 Июня 2021, 09:51:57 »
Жуть какая...
Из описанного
-j LOG --log-prefix "INPUT: "Да именно так, ссылаясь:
Вопрос четкий.
Далее стреляем в ногу и смотрим на мегабайтные файлы трафика.

Оффлайн kerogaz

  • Пользователь
  • *
  • Сообщений: 15
Re: iptables
« Ответ #6 : 01 Июня 2021, 09:59:24 »
Я думаю попробовать tcpdump и там вычислить грепом по сегменту 80.0.0.0. Оказалось проще пареной репы а я репу чесал :)  Оказалось что из всей кучи нкжен лишь 1 ip :D
« Последнее редактирование: 01 Июня 2021, 12:14:58 от kerogaz »
 

Теги: