Для чего нужна вторая сточка

Автор kylakevu4, 02 октября 2013, 16:16:03

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

kylakevu4

Нашел в инете примеры использования iptables, но не нашел описания. Подсажите пожалуйста для чего нужна вторая строчка?

Чтобы заблокировать адрес взломщика 1.2.3.4:
1. # iptables -A INPUT -s 1.2.3.4 -j DROP
2. # iptables -A INPUT -s 192.168.0.0/24 -j DROP

endru

1. Блокирует ip адрес
2. Блокирует подсеть атакующего

kylakevu4

тоесть можно использовать только первую строчку зная ip атакующего?!


kylakevu4

поправте меня если ошибаюсь: если аткующих ip несколько то они записиваються через пробел, без запятих?

endru

Цитата: kylakevu4 от 02 октября 2013, 16:29:38
поправте меня если ошибаюсь: если аткующих ip несколько то они записиваються через пробел, без запятих?

для таких случаев есть смысл настроить fail2ban и не мучаться с выслеживанием атакующего)

kylakevu4

ситуация следующая: Шлюз на Debian-е, на нём проброс во внутреннюю сеть на машиеку с RDP, которую по ночам бутят, в списке ip около 20 адресов, как лучше поступить?

endru

#7
1 способ я бы спрятал порт 3389 за любым другим портом, к примеру:
-A PREROUTING -d 8.8.8.8/32 -i eth0 -p tcp -m tcp --dport 9472 -j DNAT --to-destination 10.0.0.1:3389
номер порта говорим только тем кто цепляется по RDP.

2 способ: настраиваем 2 файла Iptables.
iptables.day - выполняется роль шлюза, отключен проброс порта до машины с RDP.
iptables.night - блокируем весь входящий трафик, оставляем только нужные IP адреса. добавляем проброс порта.
запихиваем это в cron На нужное время команды
iptables-restore /etc/network/iptables.day
iptables-restore /etc/network/iptables.night

kylakevu4

а есть у меня в ./setiptables.sh еще такая строчка
iptables -A FORWARD -i $WAN -o $LAN -s $GW/24 -p tcp -m multiport --dport 443,21,22,3389 -j ACCEPT

и в /usr/local/iptables/session.ipt
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dport 443,21,22,3389 -j ACCEPT
и в /etc/iptables.up.rules
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT

здесь менять 3389 на другой?

endru


kylakevu4

немножко правила дублируються
Открыть содержимое (спойлер)
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*mangle
:PREROUTING ACCEPT [1243027119:1081754308540]
:INPUT ACCEPT [847178822:776116320326]
:FORWARD ACCEPT [395724035:305624885765]
:OUTPUT ACCEPT [460914234:758305042755]
:POSTROUTING ACCEPT [856757456:1063942641098]
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*filter
:INPUT ACCEPT [90525:72370826]
:FORWARD ACCEPT [69569:5418920]
:OUTPUT ACCEPT [55369:72837903]
-A FORWARD -i eth1 -o eth2 -j LOG
-A FORWARD -i eth1 -o eth2 -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,3389 -j ACCEPT
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*nat
:PREROUTING ACCEPT [1763:111965]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1264:83812]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 2 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5
#-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
#-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.1
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
#-A POSTROUTING -o eth1 -j MASQUERADE
#-A POSTROUTING -o eth1 -j MASQUERADE
#-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
#-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
#-A POSTROUTING -o eth1 -j MASQUERADE
#-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
-A OUTPUT -d 193.227.xx.xxx/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.5
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
(END)
[свернуть]

endru

от дублирующих записей лучше избавляться, либо комментировать дублирующие строчки.
вот нужный /etc/iptables.up.rules
Открыть содержимое (спойлер)
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*mangle
:PREROUTING ACCEPT [1243027119:1081754308540]
:INPUT ACCEPT [847178822:776116320326]
:FORWARD ACCEPT [395724035:305624885765]
:OUTPUT ACCEPT [460914234:758305042755]
:POSTROUTING ACCEPT [856757456:1063942641098]
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*filter
:INPUT ACCEPT [90525:72370826]
:FORWARD ACCEPT [69569:5418920]
:OUTPUT ACCEPT [55369:72837903]
-A FORWARD -i eth1 -o eth2 -j LOG
-A FORWARD -i eth1 -o eth2 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,9472 -j LOG
-A FORWARD -s 192.168.0.0/24 -i eth2 -o eth1 -p tcp -m multiport --dports 443,21,22,9472 -j ACCEPT
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
# Generated by iptables-save v1.4.8 on Mon Aug  5 08:54:26 2013
*nat
:PREROUTING ACCEPT [1763:111965]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1264:83812]
-A PREROUTING -d 193.227.xx.xxx/32 -i eth1 -p tcp -m tcp --dport 9472 -j DNAT --to-destination 192.168.0.5:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
COMMIT
# Completed on Mon Aug  5 08:54:26 2013
(END)
[свернуть]
можешь сохранить его например как /etc/iptables.up.rules.test и попробовать на деле:
iptables-restore /etc/iptables.up.rules.test

kylakevu4

#12
сегодня вечерком поюзаю, потом отпишусь 8)

Сообщение объединено: 02 октября 2013, 23:36:12

по ходу этого не достаточно...по rdp не конектиться,просканив порт - закрыт

endru

объясни значение этих записей, зачем они и тд. потому как не вижу где они используются.
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -j MASQUERADE

а еще вчера проглядел:
строку
-A POSTROUTING -d 192.168.0.5/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 193.227.xx.xxx
меняем на
-A POSTROUTING -s 192.168.0.0/32 -o eth1 -j SNAT --to-source 193.227.xx.xxx
и пробуей еще раз

kylakevu4

блин....забыл еще про /usr/local/bin/firewallset
Открыть содержимое (спойлер)
#!/bin/sh

export LAN=eth2
export WAN=eth1

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

iptables -t nat -I POSTROUTING -o ${WAN} -j MASQUERADE
iptables -t nat -I POSTROUTING -o ${LAN} -j MASQUERADE

#iptables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS --clamp-mss-to-pmtu

iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
#iptables -t nat -A POSTROUTING -o eth1 -j REJECT

#iptables -t nat -A PREROUTING -p tcp --dport 3389 -i ${WAN} -j DNAT --to-destination 192.168.0.5:3389
#iptables -t nat -A PREROUTING -p tcp --dport 2 -i ${WAN} -j DNAT --to 192.168.0.5:3389

iptables -t nat -A PREROUTING -p tcp -d 193.227.xx.xxx --dport 3389 -j DNAT --to-destination 192.168.0.5:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 --dport 3389 -j SNAT --to-source 193.227.xx.xxx
[свернуть]