Autor Téma: iptables - filtrovani vstupnich paketu [vyřešeno] (Přečteno 12723 krát)

Kreny · « **Odpověď #25 kdy:** 27 Října 2008, 10:38:57 »

Tady jsou (snad to pisu spravne do kodu, teprve se ucim:) )

iptables - L

Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere            tcp option=!2 flags:SYN/SYN
input_rule  all  --  anywhere             anywhere
input_wan  all  --  anywhere             anywhere
LAN_ACCEPT  all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     gre  --  anywhere             anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable
DROP       udp  --  anywhere             172.20.0.222

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
forwarding_rule  all  --  anywhere             anywhere
forwarding_wan  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain LAN_ACCEPT (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere            state INVALID
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
output_rule  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain forwarding_rule (1 references)
target     prot opt source               destination

Chain forwarding_wan (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             192.168.1.101       tcp dpt:20001

Chain input_rule (1 references)
target     prot opt source               destination

Chain input_wan (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:22

Chain output_rule (1 references)
target     prot opt source               destination

iptables -t nat -L

Kód: [Vybrat]

Chain NEW (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere            limit: avg 50/sec burst 100
DROP       all  --  anywhere             anywhere

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
NEW        all  --  anywhere             anywhere            state NEW
prerouting_rule  all  --  anywhere             anywhere
prerouting_wan  all  --  anywhere             anywhere

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
postrouting_rule  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain postrouting_rule (1 references)
target     prot opt source               destination

Chain prerouting_rule (1 references)
target     prot opt source               destination

Chain prerouting_wan (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:20001 to:192.168.1.101:20001

jedine, co tam mam ja navic oproti defaultu je forwardovani na 192.168.1.101

Petr Merlin Vaněček · « **Odpověď #26 kdy:** 27 Října 2008, 11:04:48 »

Zkusíme to tedy trochu "popohnat"
Když pominu ty synflagy atp. tak by mohlo pomoci toto:

Kód: [Vybrat]

iptables -t nat -D NEW -j RETURN -m limit --limit 50/s --limit-burst 100
iptables -t nat -I NEW -j RETURN -m limit --limit 10000/s --limit-burst 10000

Kreny · « **Odpověď #27 kdy:** 27 Října 2008, 11:31:21 »

Ja to zkusim jakmile se dostanu domu z prace. Neni problem to dat do AP, ale bohuzel ty televize odsud nezapnu

Kolem 16-17 hodiny to zkusim a pak sem zareportuji vysledek. Mockrat diky za pomoc, zatim preji hezky den

Kreny · « **Odpověď #28 kdy:** 27 Října 2008, 16:36:52 »

Jede to !!!

Kód: [Vybrat]

iptables -t nat -I NEW -j RETURN -m limit --limit 10000/s --limit-burst 10000je lek na nemoc, kterou melo moje AP. Mockrat dekuju vsem, kteri se do tohoto fora zapojili, proste tohle forum je v nasich luzich a hajich nejlepsi

btw, jak mam ted nastavit, ze je to vyreseno ?

nettezzaumana · « **Odpověď #29 kdy:** 27 Října 2008, 16:44:55 »

Citace: Kreny 27 Října 2008, 16:36:52

.. proste tohle forum je v nasich luzich a hajich nejlepsi

<<

ok .. uz se tesim, az ti budu moct priste odpovedet nejake zverstvo typu UTFG a nebo RTFM

btw.)
merlin je tu nejlepsi pres sitovani
khareel je zase obavany expert na bash
ja jsem zde nejlepsi pres zkratky (znam i jine

) misto odpovedi ..

ps. ale je tu i par dalsich dalsich expertu se svymi nou-hau .. ono takove `dpkg-reconfigure xserver-xorg` casto pomuze i na problemy se siti

Kreny · « **Odpověď #30 kdy:** 27 Října 2008, 16:49:22 »

no ne, vazne, moc si te pomoci vazim, protoze bez tehle lidi (a tech, co pisou RTFM a neprimo tak nuti ostatni cist manualy, aby jim na foru nekdo takhle nevynadal ) by ten Linux byl neprekonatelny pro vetsinu beznych lidi (ikdyz ktery bezny clovek pouziva Unix/Linux, ze jo

) Kazdopadne kde mam teda kliknout, aby se tam napsalo "(vyreseno)" ?

Petr Merlin Vaněček · « **Odpověď #31 kdy:** 27 Října 2008, 17:50:51 »

Kreny:
super

Ani netušíte, jakou mám radost

S dovolením jsem [vyřešeno] nastavil sám. Mimochodem, dělá se to tak, že se upraví nadpis u prvního příspěvku.

nettezzaumana:
haha, nepovídej, jak je to dlouho, co jsme dávali dokupy prosté otevření portu?
btw. netušil jsem, že tenhle thread sleduješ?

nettezzaumana · « **Odpověď #32 kdy:** 27 Října 2008, 17:52:14 »

sleduju vsechny thready, diky nimz se mam sanci neco dozvedet

jakmile se jedna o iptables a zamichas se do toho ty .. no, sak jsem si i zaguglil co to vlastne pises za odpovedi

btw .. proste otevreni portu jsme davali dohromady, pac jsem jak male dite trval na tom, aby to bylo on-the-fly .. umel jsem sam od zacatku editovat svuj firewall a otocit ho ..

Petr Merlin Vaněček · « **Odpověď #33 kdy:** 27 Října 2008, 17:53:40 »

Já? Prostý pobíječ much?

nettezzaumana · « **Odpověď #34 kdy:** 27 Října 2008, 17:55:11 »

.. a imho se nam to nepovedlo, pac ja stale nevim, jak si otevrit port na mem bezicim fw bez toho, aniz bych musel zapsat prislusne pravidlo na prislusnou pozici ve skriptu a restartovat celou sluzbu ..

Petr Merlin Vaněček · « **Odpověď #35 kdy:** 27 Října 2008, 18:01:54 »

Kurňa nezlob

Napíšu ti to tedy ještě jednou:

Kód: [Vybrat]

iptables -A INPUT -p [proto] --dport [port] -i [iface] -j ACCEPT

proto = tcp/udp/icmp/all
port = buď číslo, nebo název protokolu dle iana http://www.iana.org/assignments/protocol-numbers
iface = lo,ethX,wlanX,athX,...

přičemž pokud máš na serveru jen jedno rozhraní (nebo dvě a více, ale to druhé a ostatní je/jsou bez nebezpečí), můžeš vynechat -i ...

Akorát nemůžeš testovat otevřenost portu bez služby, která ho obslouží.

nettezzaumana · « **Odpověď #36 kdy:** 27 Října 2008, 18:07:28 »

Citace: Petr Merlin Vaněček 27 Října 2008, 18:01:54

Kurňa nezlob
Napíšu ti to tedy ještě jednou:
Kód: [Vybrat]
iptables -A INPUT -p [proto] --dport [port] -i [iface] -j ACCEPTproto = tcp/udp/icmp/all
port = buď číslo, nebo název protokolu dle iana http://www.iana.org/assignments/protocol-numbers
iface = lo,ethX,wlanX,athX,...

přičemž pokud máš na serveru jen jedno rozhraní (nebo dvě a více, ale to druhé a ostatní je/jsou bez nebezpečí), můžeš vynechat -i ...

Akorát nemůžeš testovat otevřenost portu bez služby, která ho obslouží.

hmm .. mas pravdu ty parchante

njn. mam se jeste co ucit

Petr Merlin Vaněček · « **Odpověď #37 kdy:** 27 Října 2008, 18:14:51 »

Citace: nettezzaumana 27 Října 2008, 18:07:28

hmm .. mas pravdu ty parchante
njn. mam se jeste co ucit

Učit ode mne? Já nic neumím. Jen jsem občas něco pochytil

Kreny · « **Odpověď #38 kdy:** 27 Října 2008, 18:42:45 »

Citace

Kreny:
super Úsměv Ani netušíte, jakou mám radost Mrknutí Smích
S dovolením jsem [vyřešeno] nastavil sám. Mimochodem, dělá se to tak, že se upraví nadpis u prvního příspěvku.

vyborne, dekuji

Nebudu Vas dva rusit, preji hezky vecer a jeste jednou diky !

Petr Merlin Vaněček · « **Odpověď #39 kdy:** 27 Října 2008, 19:02:26 »

Citace: Kreny 27 Října 2008, 18:42:45

Citace
Kreny:
super Úsměv Ani netušíte, jakou mám radost Mrknutí Smích
S dovolením jsem [vyřešeno] nastavil sám. Mimochodem, dělá se to tak, že se upraví nadpis u prvního příspěvku.

vyborne, dekuji Nebudu Vas dva rusit, preji hezky vecer a jeste jednou diky !

Už jsme OT vyřešili

kkaarreell · « **Odpověď #40 kdy:** 29 Října 2008, 20:57:27 »

Petr Merlin Vanecek:
Teda koukam, co vsechno se v konfiguracich AP objevuje za zverstva. Ale aspon jsem zase o neco moudrejsi. Nicmene rad bych vyuzil teto prilezitosti a take si neco vyjasnil.

Kód: [Vybrat]

iptables -t nat -I NEW -j RETURN -m limit --limit 10000/s --limit-burst 10000Jaky ma smysl nastavovat --limit na 10000? Asi ti slo o to, abys dostatecne naddimenzovat ten limit pro burst, ale v takovem pripade by melo smysl prave navyseni pouze toho --limit-burst, ne? Vzdyt ten --limit nastavuje interval behem ktereho se ten burst vyhodnocuje, takze cim delsi jej zvolis, tim nizsi vlastne klades podminky na "pocet novych spojeni". Ja bych prave jen zvysoval hodnotu --limit-burst, ale nemenil --limit. Nebo se pletu?

Ntz:

Kód: [Vybrat]

khareel je zase obavany expert na bashHa ha, hledam v tom radku ironii, ale asi jsem zrovna prilis opit. Nicmene, jak jiz jiste dlouho tusis, ja zadny expert nejsem. Snazim se byt jen dva odstavce v

Kód: [Vybrat]

man bash pred ostatnimi.

Petr Merlin Vaněček · « **Odpověď #41 kdy:** 29 Října 2008, 21:01:53 »

Citace: kkaarreell 29 Října 2008, 20:57:27

Petr Merlin Vanecek:
Teda koukam, co vsechno se v konfiguracich AP objevuje za zverstva. Ale aspon jsem zase o neco moudrejsi. Nicmene rad bych vyuzil teto prilezitosti a take si neco vyjasnil.
Kód: [Vybrat]
iptables -t nat -I NEW -j RETURN -m limit --limit 10000/s --limit-burst 10000Jaky ma smysl nastavovat --limit na 10000? Asi ti slo o to, abys dostatecne naddimenzovat ten limit pro burst, ale v takovem pripade by melo smysl prave navyseni pouze toho --limit-burst, ne? Vzdyt ten --limit nastavuje interval behem ktereho se ten burst vyhodnocuje, takze cim delsi jej zvolis, tim nizsi vlastne klades podminky na "pocet novych spojeni". Ja bych prave jen zvysoval hodnotu --limit-burst, ale nemenil --limit. Nebo se pletu?

Ne, nepleteš, jen jsem popadl první hodnoty, které mne napadly

kkaarreell · « **Odpověď #42 kdy:** 29 Října 2008, 21:20:57 »

Citace: Petr Merlin Vaněček 29 Října 2008, 21:01:53

Ne, nepleteš, jen jsem popadl první hodnoty, které mne napadly

no jo, stastnych deset (tisic). nemas jeste nejaky tipy? ze bych si vsadil. ted, kdyz je ta krize, tak by chechtaky prisly vhod.. teda vlastne uplne kdykoliv, krize nekrize.

Petr Merlin Vaněček · « **Odpověď #43 kdy:** 29 Října 2008, 21:36:35 »

7,15,22,23,40,48,55,57,76,79 - stačí?

lepší jak random, ne?

kkaarreell · « **Odpověď #44 kdy:** 30 Října 2008, 20:11:36 »

Citace: Petr Merlin Vaněček 29 Října 2008, 21:36:35

7,15,22,23,40,48,55,57,76,79 - stačí? lepší jak random, ne?

Tak prd. Stalo me to tricet korun, ale trefil jsi jen jedno cislo. :-(
Petrovi Vaneckovi nikdo neverte. :-D

Petr Merlin Vaněček · « **Odpověď #45 kdy:** 30 Října 2008, 20:21:53 »

Ty jsi to vážně vsázel???

To vědět, tak poradím lépe

Martin Kiklhorn · « **Odpověď #46 kdy:** 03 Listopadu 2008, 22:09:35 »

Citace: Petr Merlin Vaněček 25 Října 2008, 16:43:45

Vůbec se nemusím jednat o HUB, ale klidně o switch, jen je TV šířena jako stream nad multicastem na 224.0.0.1 - tím pádem by router měl takovou komunikaci poslat všem multicastovým strojům, o což se docela klidně může snažit.

Routování multicastu bych vynechal, to není zrovna triviální věc. V reálu se místo toho dost používá VLAN. Takže se z pohledu multicastu dostaneme jen na switchování. Zajímavé je to v okamžiku kdy do switche přichází na některém portu multicast stream. Průšvih většiny levných switchů je že se k němu chovají jako k broadcastu, tedy že stream přeposílají na všechny své porty. Normálně by si switch měl držet tabulku multicastových group které má na portech k dispozici, a teprv až na některém portu dostane přes IGMP join žádost tak sestaví cestu a začne vysílat vybraný stream i na ten port ze kterého žádost přišla.
Hodně jsem to zjednodušil, podstata je snad ale jasná.
Ještě větší průšvih u domácích krabiček nastane pokud je k tomu broadcastujícímu switchi připojený nebo integrovaný wifi AP. Velké množství krátkých paketů typických pro multimediální streamy ho většinou prostě zahltí.
Je prima že jste to vyřešili softwarově zalevno, jinak switchem který by se korektně choval k multicastu namísto toho za 170,- by se to také vyřešilo.

kkaarreell · « **Odpověď #47 kdy:** 04 Listopadu 2008, 12:17:36 »

No, podle toho, jak se to vyresilo byl spis problem v tom (muj nazor na vec), ze prislusne pravidlo pro iptables majici mirnit pripadny DOS utok bylo zahlceno pakety pro TV a po dosazeni nastaveneho limitu neumoznovalo navazani novych spojeni iniciovanych z vnitrni site. Osobne si myslim, ze by ani nebylo nutne zvysovat ten limit, ale pouze pravidlo upresnit a pouzivat burst-limit pouze na spojeni prichazejici na rozhrani do WLAN. Pak by nedochazelo k omezovani paketu prichazejicich z vnitrni site. Ale mozna jsem tu situaci spatne pochopil a jsem uplne mimo.