Для чего нужна вторая сточка

kylakevu4 · 02 октября 2013, 16:16:03

Нашел в инете примеры использования iptables, но не нашел описания. Подсажите пожалуйста для чего нужна вторая строчка?

Чтобы заблокировать адрес взломщика 1.2.3.4:
1. # iptables -A INPUT -s 1.2.3.4 -j DROP
2. # iptables -A INPUT -s 192.168.0.0/24 -j DROP

endru · 02 октября 2013, 16:21:17

1. Блокирует ip адрес
2. Блокирует подсеть атакующего

kylakevu4 · 02 октября 2013, 16:22:57

тоесть можно использовать только первую строчку зная ip атакующего?!

endru · 02 октября 2013, 16:24:31

да

kylakevu4 · 02 октября 2013, 16:29:38

поправте меня если ошибаюсь: если аткующих ip несколько то они записиваються через пробел, без запятих?

endru · 02 октября 2013, 16:38:30

Цитата: kylakevu4 от 02 октября 2013, 16:29:38
поправте меня если ошибаюсь: если аткующих ip несколько то они записиваються через пробел, без запятих?

для таких случаев есть смысл настроить fail2ban и не мучаться с выслеживанием атакующего)

kylakevu4 · 02 октября 2013, 16:46:26

ситуация следующая: Шлюз на Debian-е, на нём проброс во внутреннюю сеть на машиеку с RDP, которую по ночам бутят, в списке ip около 20 адресов, как лучше поступить?

endru · 02 октября 2013, 17:00:21

1 способ я бы спрятал порт 3389 за любым другим портом, к примеру:

Код Выделить

-A PREROUTING -d 8.8.8.8/32 -i eth0 -p tcp -m tcp --dport 9472 -j DNAT --to-destination 10.0.0.1:3389
номер порта говорим только тем кто цепляется по RDP.

2 способ: настраиваем 2 файла Iptables.
iptables.day - выполняется роль шлюза, отключен проброс порта до машины с RDP.
iptables.night - блокируем весь входящий трафик, оставляем только нужные IP адреса. добавляем проброс порта.
запихиваем это в cron На нужное время команды

Код Выделить

iptables-restore /etc/network/iptables.day
iptables-restore /etc/network/iptables.night

kylakevu4 · 02 октября 2013, 17:15:48

а есть у меня в ./setiptables.sh еще такая строчка

Код Выделить

iptables -A FORWARD -i $WAN -o $LAN -s $GW/24 -p tcp -m multiport --dport 443,21,22,3389 -j ACCEPT

и в /usr/local/iptables/session.ipt

Код Выделить

-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dport 443,21,22,3389 -j ACCEPT
и в /etc/iptables.up.rules

Код Выделить

-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT

здесь менять 3389 на другой?

endru · 02 октября 2013, 17:25:26

/etc/iptables.up.rules весь покажи

kylakevu4 · 02 октября 2013, 17:39:12

немножко правила дублируються

Открыть содержимое (спойлер)

Код Выделить

# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*mangle
:PREROUTING ACCEPT [1243027119:1081754308540]
:INPUT ACCEPT [847178822:776116320326]
:FORWARD ACCEPT [395724035:305624885765]
:OUTPUT ACCEPT [460914234:758305042755]
:POSTROUTING ACCEPT [856757456:1063942641098]
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*filter
:INPUT ACCEPT [90525:72370826]
:FORWARD ACCEPT [69569:5418920]
:OUTPUT ACCEPT [55369:72837903]
-A FORWARD -i eth1 -o eth2 -j LOG
-A FORWARD -i eth1 -o eth2 -j ACCEPT 
#-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT 
#-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT 
#-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT 
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT 
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*nat
:PREROUTING ACCEPT [1763:111965]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1264:83812]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 2 -j DNAT --to-destination 192.168.0.5:3389 
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5 
#-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 
#-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128 
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389 
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.1 
-A POSTROUTING -o eth2 -j MASQUERADE 
-A POSTROUTING -o eth1 -j MASQUERADE 
-A POSTROUTING -j MASQUERADE
#-A POSTROUTING -o eth1 -j MASQUERADE 
#-A POSTROUTING -o eth1 -j MASQUERADE 
#-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx 
#-A POSTROUTING -o eth1 -j MASQUERADE 
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx 
#-A POSTROUTING -o eth1 -j MASQUERADE 
#-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx 
-A OUTPUT -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
(END)

[свернуть]

endru · 02 октября 2013, 17:59:54

от дублирующих записей лучше избавляться, либо комментировать дублирующие строчки.
вот нужный /etc/iptables.up.rules

Открыть содержимое (спойлер)

# Generated by iptables-save v1.4.8 on Mon Aug 5 08:54:26 2013
*mangle
:PREROUTING ACCEPT [1243027119:1081754308540]
:INPUT ACCEPT [847178822:776116320326]
:FORWARD ACCEPT [395724035:305624885765]
:OUTPUT ACCEPT [460914234:758305042755]
:POSTROUTING ACCEPT [856757456:1063942641098]
COMMIT
# Completed on Mon Aug 5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug 5 08:54:26 2013
*filter
:INPUT ACCEPT [90525:72370826]
:FORWARD ACCEPT [69569:5418920]
:OUTPUT ACCEPT [55369:72837903]
-A FORWARD -i eth1 -o eth2 -j LOG
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,9472 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,9472 -j ACCEPT
COMMIT
# Completed on Mon Aug 5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug 5 08:54:26 2013
*nat
:PREROUTING ACCEPT [1763:111965]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1264:83812]
-A PREROUTING -d 193.227.xx.xxx/32 -i eth1 -p tcp -m tcp --dport 9472 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
COMMIT
# Completed on Mon Aug 5 08:54:26 2013
(END)

[свернуть]

можешь сохранить его например как /etc/iptables.up.rules.test и попробовать на деле:

Код Выделить

iptables-restore /etc/iptables.up.rules.test

kylakevu4 · 02 октября 2013, 18:06:40

сегодня вечерком поюзаю, потом отпишусь

Сообщение объединено: 02 октября 2013, 23:36:12

по ходу этого не достаточно...по rdp не конектиться,просканив порт - закрыт

endru · 03 октября 2013, 09:29:39

объясни значение этих записей, зачем они и тд. потому как не вижу где они используются.

Код Выделить

-A POSTROUTING -o eth2 -j MASQUERADE 
-A POSTROUTING -o eth1 -j MASQUERADE 
-A POSTROUTING -j MASQUERADE

а еще вчера проглядел:
строку

Код Выделить

-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
меняем на

Код Выделить

-A POSTROUTING -s 192.168.0.0/32 -o eth1 -j SNAT --to-source 193.227.xx.xxx
и пробуей еще раз

kylakevu4 · 03 октября 2013, 12:05:05

блин....забыл еще про /usr/local/bin/firewallset

Открыть содержимое (спойлер)

Код Выделить

#!/bin/sh

export LAN=eth2
export WAN=eth1

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

iptables -t nat -I POSTROUTING -o ${WAN} -j MASQUERADE
iptables -t nat -I POSTROUTING -o ${LAN} -j MASQUERADE

#iptables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth1 -j REJECT

#iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ${WAN} -j DNAT --to-destination 192.168.0.5:3389
#iptables -t nat -A PREROUTING -p tcp --dport 2 -i ${WAN} -j DNAT --to 192.168.0.5:3389

iptables -t nat -A PREROUTING -p tcp -d 193.227.xx.xxx --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 --dport 3389 -j SNAT --to-source 193.227.xx.xxx

[свернуть]