[ РЕШЕНО]iptables

Автор kerogaz, 01 июня 2021, 08:08:49

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

kerogaz

01 июня 2021, 08:08:49 Последнее редактирование: 01 июня 2021, 10:14:54 от kerogaz
У меня есть такая строка в правилах
Код Выделить
4    6107  357K ACCEPT     all  --  *      *       80.0.0.0/8           0.0.0.0/0
Как можно посмотреть какие конкретно ip проходят? Я в логах не нашел подобных сведений. Мне нужно открыть  только 2 ip но поскольку я не знаю их , то  приходится открывать весь сегмент. А это полохо, ботнеты пытаются активно   войти и забивают своими запросами ssh

endru

#1
01 июня 2021, 08:33:44
по логам входа ssh нельзя посмотреть?
/var/log/auth.log - там найти успешные логи и посмотреть с каких они адресов.
от ботов существует fail2ban.

kerogaz

#2
01 июня 2021, 09:16:16 Последнее редактирование: 01 июня 2021, 09:27:35 от kerogaz
Нет там. Потому что это мониторинг сервера со стороны другого сайта . Фактически нужные ip не входят в систему а только какие-то данные считывают.  Сайт мониторит с помощью ресурса ARC http://www.nordugrid.org/arc/arc6// Посмотрю в логах ARC. 

endru

#3
01 июня 2021, 09:22:34
Ждите экстрасенсов. Нет четкого вопроса!!! А тыкать пальцем, имея простой счетчик, занятие такое себе...

kerogaz

#4
01 июня 2021, 09:38:34 Последнее редактирование: 01 июня 2021, 09:57:54 от kerogaz
Вопрос четкий. iptables показывает что через цепочку   INPUT проходят пакетыjот какого-то ip из  сегмента 80.0.0.0/8. Как их вычислть. В логах нет ничего . Если например кто-то из ботнета или какой-то пользвательпытается войти  то сразу в логах  auth  появляются сообщения . А когда из мониторингового сайта то ничего нет. Я специально обнуляю чтобы проследить iptables --zero.  У меня политика iptables запретить всё разрешить некоторые .

А логах arc только
[2021-06-01 09:48:18] [InfosysHelper] [INFO] [8027] Notification received from A-REX's infoprovider
[2021-06-01 09:48:18] [InfosysHelper] [VERBOSE] [8027] Using ldif generator script: /var/run/arc/infosys/ldif-provider.sh
[2021-06-01 09:48:29] [InfosysHelper] [VERBOSE] [8238] New fifo created: /var/run/arc/infosys/ldif-provider.fifo
[2021-06-01 09:48:29] [InfosysHelper] [INFO] [8238] Start waiting for notification from A-REX's infoprovider

Вот думаю tcpdump запустить и посмотреть

endru

#5
01 июня 2021, 09:51:57
Жуть какая...
Из описанного
Код Выделить
-j LOG --log-prefix "INPUT: "
Да именно так, ссылаясь:
Цитата: kerogaz от 01 июня 2021, 09:38:34Вопрос четкий.
Далее стреляем в ногу и смотрим на мегабайтные файлы трафика.

kerogaz

#6
01 июня 2021, 09:59:24 Последнее редактирование: 01 июня 2021, 12:14:58 от kerogaz
Я думаю попробовать tcpdump и там вычислить грепом по сегменту 80.0.0.0. Оказалось проще пареной репы а я репу чесал :)  Оказалось что из всей кучи нкжен лишь 1 ip :D
Печать
Вверх Страницы1
Действия пользователя