- iptables и подбор паролей,
 PavelR, 18:46 , 01-Мрт-10 (1)>В iptables прописано ограничение по количеству обращений в минуту:
>
>-A INPUT -d server.ip -m state --state RELATED,ESTABLISHED -j ACCEPT
>-A INPUT -p tcp -m recent --set
>-A INPUT -p tcp -m recent --update --seconds 30 --hitcount 10 -j
>REJECT
>
>ну и меня самого при попытках частого подключения прекрасно срезает.
>Но в логах вакханалия: Вакханалия ? Где вы её увидели ? Всё работает точно так, как вы наконфигурили. За тридцать секунд - разрешается десять соединений. По одному соединению в три секунды. Как раз соответствует куску приведенного вами лога. >Насколько я могу судить, это из-за первой приведенной мной строки? А как
>это технически делается? Вы поясните, зачем вы делаете то, чего не понимаете (правила какие-то набиваете, и т д ) ?
- iptables и подбор паролей, andlis, 20:54 , 01-Мрт-10 (3)
Ну во-первых спасибо, что ответили. Во-вторых, это что модно теперь учить жить даже не дочитав тред?>Вакханалия ? Где вы её увидели ?
>
>Всё работает точно так, как вы наконфигурили. За тридцать секунд - разрешается
>десять соединений. По одному соединению в три секунды. Как раз соответствует
>куску приведенного вами лога. Я привел кусок лога. Считаю я довольно неплохо, и соединений там сильно больше чем 1 на 3 сек. >>Насколько я могу судить, это из-за первой приведенной мной строки? А как
>>это технически делается?
>
>Вы поясните, зачем вы делаете то, чего не понимаете (правила какие-то набиваете,
>и т д ) ? Просто изумительно! Ваще можно и извиниться например.
- iptables и подбор паролей, bill, 22:10 , 01-Мрт-10 (5) +1
>Я привел кусок лога. Считаю я довольно неплохо, и соединений там сильно
>больше чем 1 на 3 сек. А где ограничение, что их не должно быть больше, чем 1 на 3 сек? Это же два лога, зачем их соединять в один, чтоб больше запутать?
- iptables и подбор паролей, PavelR, 19:23 , 01-Мрт-10 (2)
Должен заметить, всё оказалось интересней.Вот уж не знаю, что там творится в нутрях iptables/conntrack, но действительно, у меня в конфигурации host01:/web# iptables -nvL
Chain INPUT (policy ACCEPT 177M packets, 57G bytes)
pkts bytes target prot opt in out source destination
203K 61M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
16 864 AUTHS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
26 1260 AUTHS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
первоначально перестало кидать пакеты новых соединений на цепочку AUTHS, видимо пропуская её на -m state
Чтение манов выявило наличие модуля conntrack, но не выявило наличия разницы в их функциях. http://www.linux.org.ru/forum/admin/4437887;jsessionid=4FA52...
После некотого шаманства, пакеты всё-таки стали заворачиваться на AUTHS
Chain AUTHS (2 references)
pkts bytes target prot opt in out source destination
15 744 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 60 name: auths side: source reject-with icmp-port-unreachable
7 348 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: auths side: source
Правда я поменял последовательность правил - сначала проверяем, потом ставим. Иначе - выставили и следующее правило блокирует пакет, поскольку у меня нет проверки hitcount.
Данная конфигурация жестока - если в течении минуты "пользователь" не прекращал "долбиться" - сооединение не будет пропущено. Но мы ведь не варвары, поэтому сделаем так: Chain AUTHS (2 references)
pkts bytes target prot opt in out source destination
17 840 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 60 name: auths side: source reject-with icmp-port-unreachable
8 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: auths side: source
iptables -A AUTHS -m recent --name auths --rcheck --seconds 60 -j REJECT
iptables -A AUTHS -m recent --name auths --set -j ACCEPT
- iptables и подбор паролей, andlis, 21:10 , 01-Мрт-10 (4)
По этому поводу масса литературы. Честно говоря я спросил не о том. Виноват - если криво задал вопрос.
Когда я сам пытаюсь сканировать снаружи мои порты или подбирать пароли - мой фильтр меня срезает. Это происходит ИМХО потому, что я каждый раз создаю новое соединение (такой софт). Этот же чел явно подбирает пароли внутри одного соединения - поэтому и подбирает сколько хочет. Возможно я не прав. Логи вроде говорят, что соединение с ним каждый раз заканчивается... Но почему тогда мои попытки фильтр срезает, а ЕГО нет?
- iptables и подбор паролей, PavelR, 23:30 , 01-Мрт-10 (6)
Mar 1 13:28:15 zmmu xinetd[2078]: START: pop3 pid=20394 from=213.92.11.165
Mar 1 13:28:18 zmmu xinetd[2078]: START: pop3 pid=20399 from=213.92.11.165
Mar 1 13:28:21 zmmu xinetd[2078]: START: pop3 pid=20401 from=213.92.11.165
Mar 1 13:28:23 zmmu xinetd[2078]: START: pop3 pid=20404 from=213.92.11.165
Mar 1 13:28:26 zmmu xinetd[2078]: START: pop3 pid=20407 from=213.92.11.16515 +3 = 18
18 +3 = 21
21 +2 = 23
23 +3 = 26 Это называется сильно чаще чем раз в три секунды ?
host01:~# telnet mail.mydomain.com 110
Trying 12.34.56.78...
Connected to mail.mydomain.com.
Escape character is '^]'.
+OK Hello there.
user user1
+OK Password required.
pass passw
-ERR Login failed.
user user2
+OK Password required.
pass pass2
-ERR Login failed.
user user3
+OK Password required.
pass pass4
-ERR Login failed.
user user5
+OK Password required.
pass pass5
-ERR Login failed.
Да легко. Надо отключать такое нафиг, поскольку клиентскому софту не нужно...
- iptables и подбор паролей, andlis, 08:49 , 02-Мрт-10 (7)
>[оверквотинг удален]
>user user3
>+OK Password required.
>pass pass4
>-ERR Login failed.
>user user5
>+OK Password required.
>pass pass5
>-ERR Login failed.
>
>Да легко. Надо отключать такое нафиг, поскольку клиентскому софту не нужноСтоп! Можно на этом месте подробнее? Длинный столбец - это лог сессии в которой в течение одного соединения несколько раз запрашивают логин/пароль. Так?
А вот дальше я не понял смысл предложения. Можно объяснить?
- iptables и подбор паролей, andlis, 08:59 , 02-Мрт-10 (8)
В догонку
У меня аналогичный лог выглядит отнюдь не так.
Соединяюсь telnet или маньяком все равно.open mydomain.ru 110
+OK
user user
+OK
pass ghj
-ERR Authentication failed (bad password?)
Connection closed. И все - опаньки. Так только 10 раз.
А почему у вас не было Connection closed? (на всякий случай скажу, что далеко не всякая софтина выдает эту строку в лог - ну это так... мало ли вдруг не знали..)
- iptables и подбор паролей, andlis, 12:00 , 02-Мрт-10 (9)
так все - я лох педальный.
Действительно их строго 9 на 30 секунд. Я не заметил проброса в 30 секунд на каждый десятый раз.
Пожалуйста, ответьте на мой вопрос что значило: "Да легко. Надо отключать такое нафиг"
- iptables и подбор паролей, PavelR, 12:12 , 02-Мрт-10 (10)
>так все - я лох педальный.
>Действительно их строго 9 на 30 секунд. Я не заметил проброса в
>30 секунд на каждый десятый раз.
>Пожалуйста, ответьте на мой вопрос что значило: "Да легко. Надо отключать такое
>нафиг" "Да легко" - это в адрес конкретной реализации сервиса, позволяющей в рамках установленного ТСР соединения производить несколько попыток авторизации. "Отключать" - делать так, чтобы неудачная попытка авторизации обрывала ТСР-сессию, заставляя пересоединяться, соответственно подпадая под действие файрволла. Поскольку, обычно нормальному клиентскому софту нафиг не надо делать несколько авторизаций в одном ТСР соединении :-) А если пользователь действительно ошибся - то ничего страшного, переподключится. Кстати говоря, кроме fail2ban, есть еще например pam-shield ...
Всё это очень удачно можно прикрутить к обсуждаемому recent, заполняя его таблицы скриптами.
- iptables и подбор паролей, andlis, 12:47 , 02-Мрт-10 (11)
Спасибо!
>"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в
>рамках установленного ТСР соединения производить несколько попыток авторизации. Так, а как вы это сделали я не понял? судя по логу - просто зашли с телнета...
- iptables и подбор паролей, PavelR, 13:03 , 02-Мрт-10 (12)
>Спасибо!
>>"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в
>>рамках установленного ТСР соединения производить несколько попыток авторизации.
>
>Так, а как вы это сделали я не понял? судя по логу
>- просто зашли с телнета... ну да, обычный телнет.
- iptables и подбор паролей, andlis, 14:14 , 02-Мрт-10 (13)
>>Спасибо!
>>>"Да легко" - это в адрес конкретной реализации сервиса, позволяющей в
>>>рамках установленного ТСР соединения производить несколько попыток авторизации.
>>
>>Так, а как вы это сделали я не понял? судя по логу
>>- просто зашли с телнета...
>
>ну да, обычный телнет. а ну это меняет дело. у меня такие попытки на сервере принудительно приводят к закрытию соединения.
в общем получилось, что я разобрался. Просто не так посчитал.
спасибо большое за дискуссию
- iptables и подбор паролей, PavelR, 15:09 , 02-Мрт-10 (14)
>[оверквотинг удален]
>>>
>>>Так, а как вы это сделали я не понял? судя по логу
>>>- просто зашли с телнета...
>>
>>ну да, обычный телнет.
>
>а ну это меняет дело. у меня такие попытки на сервере принудительно
>приводят к закрытию соединения.
>в общем получилось, что я разобрался. Просто не так посчитал.
>спасибо большое за дискуссию :-) Я тоже маленько разобрался :-)))
|
Версия для распечатки
iptables и подбор паролей, 
