[Comm] iptables для чайника.

[Comm] iptables для чайника.

[Oleg Dolgov]

Здравствуйте.

Подключен по выделенке, имею "белый" IP (комп один, локальной сети нет).
Поставил себе apache и сразу огорчился. Как
только открыт 80-й порт, сразу получил
дикую атаку от модемщиков провайдера.
Вирус какой-то чтоли у кого сидит...
Постоянно сканируют 443-й и 80-й порты (со слов portsentry).

Подскажите, плз. как правильно указать
правило в iptables для DROP _всех_ запросов на любой порт,
пришедших от ххх.ххх.ххх.* а еще лучше с ххх.ххх.*.*

С iptables дела не имел еще. В документацию
пока въеду, мне весь трафик сожрут.
Попробовал guarddog, так то по умолчанию
закрыл все к чертовой бабушке, что у меня
VMware отвалилась от localhost.

Заранее благодарен.

-- 
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454

Re: [Comm] iptables для чайника.

[Alexandr A. Alexandrov]

Доброго времени суток!

Tuesday, November 8, 2005, 7:05:35 PM, вы писали:

OD> Подключен по выделенке, имею "белый" IP (комп один, локальной сети нет).
OD> Поставил себе apache и сразу огорчился. Как
OD> только открыт 80-й порт, сразу получил
OD> дикую атаку от модемщиков провайдера.
OD> Вирус какой-то чтоли у кого сидит...
OD> Постоянно сканируют 443-й и 80-й порты (со слов portsentry).

OD> Подскажите, плз. как правильно указать
OD> правило в iptables для DROP _всех_ запросов на любой порт,
OD> пришедших от ххх.ххх.ххх.* а еще лучше с ххх.ххх.*.*

iptables -A INPUT -s x.x.x.0/24 -j DROP

OD> С iptables дела не имел еще. В документацию
OD> пока въеду, мне весь трафик сожрут.
OD> Попробовал guarddog, так то по умолчанию
OD> закрыл все к чертовой бабушке, что у меня
OD> VMware отвалилась от localhost.

-- 
С уважением,
 Александр                            mailto:aaa@inrecolan.com

Девиз дня: Критиковать - значит объяснять автору, что он делает не так, как делал бы критик, если бы умел 

Re: [Comm] iptables ДМС ЮБКОЙЛБ.

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1433 bytes --]

Oleg Dolgov wrote:
> Здравствуйте.
> 
> Подключен по выделенке, имею "белый" IP (комп один, локальной сети нет).
> Поставил себе apache и сразу огорчился. Как
> только открыт 80-й порт, сразу получил
> дикую атаку от модемщиков провайдера.
> Вирус какой-то чтоли у кого сидит...
> Постоянно сканируют 443-й и 80-й порты (со слов portsentry).
> 
Вы платите за входящий трафик? Если да, закрытие портов Вам не
поможет. Они всё равно будут сканировать. Просите помощи у прова.
> Подскажите, плз. как правильно указать
> правило в iptables для DROP _всех_ запросов на любой порт,
> пришедших от ххх.ххх.ххх.* а еще лучше с ххх.ххх.*.*
> 
iptables -A INPUT -s xxx.xxx.xxx.0/24 -j DROP
> С iptables дела не имел еще. В документацию
> пока въеду, мне весь трафик сожрут.
> Попробовал guarddog, так то по умолчанию
> закрыл все к чертовой бабушке, что у меня
> VMware отвалилась от localhost.
> 
Правильно сделал. Стандартная политика DROP и открываем, что
действительно нужно. Прочтите доки на русском зеркале линуксгазеты.
> Заранее благодарен.
> 
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: iptables ДМС ЮБКОЙЛБ.

[Oleg Dolgov]

В письме Tue, 08 Nov 2005 18:27:36 +0200, Andrii Dobrovol`s`kii
написал:

> Вы платите за входящий трафик? Если да,

За бОльший. Проблема в том, что пока 80-й
порт был закрыт, просто перриодически
сканировали. На сетевой активности это
особо не отражалось. А тут как попер
входящий трафик... То ли мне чего
заливать пытались, толи чего искали. Не
пойму. В acces.log apache упоминается какая-то dll'ка.

Если не затруднит, могу кинуть личкой
лог апача, может объясните чего от меня хотели злые хацкеры?

> закрытие портов Вам не поможет. Они всё
> равно будут сканировать. Просите помощи
> у прова.

Это, я думаю, бесполезно. Как бороться с
абонентами, использующими
интернет-карты предоплаченного доступа
(или как их правильно обозвать, анонимщики, короче)?

-- 
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454

Re: [Comm] iptables ДМС ЮБКОЙЛБ.

[Алексей Синицын]

08.11.05, Andrii Dobrovol`s`kii<dobr@iop.kiev.ua> написал(а):

> > Попробовал guarddog, так то по умолчанию
> > закрыл все к чертовой бабушке, что у меня
> > VMware отвалилась от localhost.
> >
> Правильно сделал. Стандартная политика DROP и открываем, что
> действительно нужно.

 Это несколько канительней, но спокойней :)

 Только у него есть нюанс (!)  Он заточен под диалап, и прописывает
что-то куда-то в отношении ppp, что будет активизироваться при
дозвоне. То есть может быть понадобится выполнить service iptables
save

[Comm] Re: Re: iptables ДМС ЮБКОЙЛБ.

[Oleg Dolgov]

В письме Wed, 09 Nov 2005 10:32:26 +0300, Алексей
Синицын написал:
> 08.11.05, Andrii Dobrovol`s`kii<dobr@iop.kiev.ua> написал(а):
> 
>> > Попробовал guarddog, так то по умолчанию
>> > закрыл все к чертовой бабушке, что у
>> > меня VMware отвалилась от localhost.
>  Только у него есть нюанс (!)  Он заточен
>  под диалап, и прописывает
> что-то куда-то в отношении ppp, что будет
> активизироваться при дозвоне. То есть
> может быть понадобится выполнить service
> iptables save

Я в его окнах вообще не разобрался.
Какие-то встроенные зоны, свои добавлять
можно. А вот галочки в верхнем правом
углу первой вкладки (где описания зон)
зачем? Источник/назначение, ну типа откуда/куда дут пакеты?

В общем не важно. Одно простое правило
iptables и тишина на сетевом интерфейсе уже часа три :-)

-- 
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454

Re: [Comm] Re: Re: iptables ДМС ЮБКОЙЛБ.

[Алексей Синицын]

09.11.05, Oleg Dolgov<dolgov@mail.zp.ua> написал(а):

> >> > Попробовал guarddog, так то по умолчанию
> >> > закрыл все к чертовой бабушке, что у
> >> > меня VMware отвалилась от localhost.

> Какие-то встроенные зоны, свои добавлять
> можно. А вот галочки в верхнем правом
> углу первой вкладки (где описания зон)
> зачем? Источник/назначение, ну типа откуда/куда дут пакеты?
>

 Да вроде все как раз под чайника (меня:). На второй вкладке зону
local не трогаем вообще (если не предоставляем наружу http ftp итд), в
зоне интернет разрешаем только то, что понадобится. Галочки на первой
вкладке - кому с кем в принципе можно иметь дело (если отмечено - во
второй вкладке становится можно отмечать протоколы)

 Добавлять зоны в случае исключений (например отдельные сети (как раз
наверное для WMware))

 Впрочем для сложных случаев конечно или писать вручную или, скажем, fwbuilder.

> В общем не важно. Одно простое правило
> iptables и тишина на сетевом интерфейсе уже часа три :-)
>

 Оно конечно хорошо, но паранойя требует задраить все о оставить
мааленькую щелочку :) (размонтировать /boot, указать noexec на /home и
/tmp и выключить уже питание:)

[Comm] Re: Re: Re: Re: iptables ДМС ЮБКОЙЛБ.

[Oleg Dolgov]

В письме Wed, 09 Nov 2005 11:25:28 +0300, Алексей
Синицын написал:
> Добавлять зоны в случае исключений
>  (например отдельные сети (как раз
> наверное для WMware))

Ну вот у меня ifconfig показывает 3 интерфейса:
eth0 с реальным ip смотрит в интернет
lo (это и так понятно :-)
vmnet1 - это host-only для vmware.

Запущена самба мастером для vmnet1 (может не так выразился).
Первый раз запустил guarddog, еще не успел
ничего создать/открыть, как vmware потеряла связь с самбой.

Мне надо создать новую зону с адресами
ххх.ххх.ххх.0/24? И как тогда (какими
галочками) запретить локалке отдавать
на eth0 все, кроме ftp/http, а на vmnet1 открыть все?
Я так и не понял.

-- 
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454

Re: [Comm] Re: Re: Re: Re: iptables ДМС ЮБКОЙЛБ.

[Алексей Синицын]

09.11.05, Oleg Dolgov<dolgov@mail.zp.ua> написал(а):

> Запущена самба мастером для vmnet1 (может не так выразился).
> Первый раз запустил guarddog, еще не успел
> ничего создать/открыть, как vmware потеряла связь с самбой.
>

 Первый раз запускал его давно и не помню как он себя ведет. Возможно
действительно первым делом все закрывает (хотя это действительно
спорно).

> Мне надо создать новую зону с адресами
> ххх.ххх.ххх.0/24? И как тогда (какими
> галочками) запретить локалке отдавать
> на eth0 все, кроме ftp/http, а на vmnet1 открыть все?
> Я так и не понял.
>

 "Разрешать все" у него надо долго и нудно проставляя галочки :) В
таком случае действительно проще написать одно правило для запрещения
чего-либо.

 Если такой подход приемлим.