|
Автор |
Сообщение |
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
Настроил вчера на своем шлюзе iptables. Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "packets_ppp0_new"
И второй день уже наблюдается такое:
Dec 26 08:23:46 server kernel: [ 4160.094894] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=94.194.155.162 DST=[мой ip] LEN=131 TOS=0x00 PREC=0x00 TTL=112 ID=7915 PROTO=UDP SPT=53095 DPT=3128 LEN=111
Dec 26 08:23:46 server kernel: [ 4160.250336] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=116.3.105.147 DST=[мой ip] LEN=126 TOS=0x00 PREC=0x00 TTL=108 ID=17676 PROTO=UDP SPT=4041 DPT=12135 LEN=106
Dec 26 08:23:48 server kernel: [ 4162.292479] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=180.231.10.59 DST=[мой ip] LEN=131 TOS=0x00 PREC=0x00 TTL=101 ID=11212 PROTO=UDP SPT=51756 DPT=3128 LEN=111
Dec 26 08:23:52 server kernel: [ 4166.360983] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=116.3.105.147 DST=[мой ip] LEN=126 TOS=0x00 PREC=0x00 TTL=108 ID=18307 PROTO=UDP SPT=4041 DPT=12135 LEN=106
Dec 26 08:23:56 server kernel: [ 4170.481270] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=188.55.34.5 DST=[мой ip] LEN=131 TOS=0x00 PREC=0x00 TTL=109 ID=23628 PROTO=UDP SPT=31071 DPT=3128 LEN=111
Dec 26 08:24:02 server kernel: [ 4176.537982] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=202.99.223.3 DST=[мой ip] LEN=129 TOS=0x00 PREC=0x00 TTL=107 ID=8956 PROTO=UDP SPT=24219 DPT=12135 LEN=109
Как это можно объяснить? Подсеть провайдера попала в список ботнета? _________________
|
|
Вернуться к началу |
|
|
Anton99
Neo
Зарегистрирован: 26.11.2006 Сообщения: 1676
|
|
|
|
Почему тебя это волнует? |
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
1) Таким "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "packets_ppp0_new"" правилом мы не исключили пакеты несанкционированного соединения, а всего лишь стали их фиксировать. Для блокирования этих пакетов нужно добавить такое правило "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j DROP"
2) Обьясниться это желанием кого-то "цепануться" (т.к. UDP протокол) то на 12135, то на 3128 порт. Ни один из них не лежит в диапазоне привилегированных портов.
Возможно это от того что на вашей машине запущена торрент-качалка, выключите её и понаблюдайте за логами. |
|
Вернуться к началу |
|
|
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
Цитата: |
Таким "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j LOG --log-prefix "packets_ppp0_new"" правилом мы не исключили пакеты несанкционированного соединения, а всего лишь стали их фиксировать. Для блокирования этих пакетов нужно добавить такое правило "Исключил входящие подключения добавив правило iptables -A INPUT -i ppp0 -m state --state NEW -j DROP" |
именно исключил с последующей записью в логи _________________
|
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Цитата: |
именно исключил с последующей записью в логи
|
Запись в логи вижу, а вот DROP не вижу |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
При действии LOG пакеты не принимаются. _________________
|
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
Madfisht3, это не показатель. Нужно смотреть все правила файрволла "iptables-save". Если у тебя дефолтное правло "ACCEPT - пропустить", то эти пакеты пройдут. |
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
NGINX за*бал уже!!! Что так тупит? |
|
Вернуться к началу |
|
|
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
Надо смотреть iptables -S:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
Из этого должно быть понятно, что не идет трафик.... _________________
|
|
Вернуться к началу |
|
|
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
Трафик через цепочку FORWARD двигается с позволения некоих правил.... так же и входящий трафик через интерфейс ppp0. Теперь понятна картина? _________________
|
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
Madfisht3, понятна. торренты качаешь? |
|
Вернуться к началу |
|
|
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
Нет. Это же шлюз, к нему пакетов "NEW" вообще по сути не должно приходить, он работает только с соединениями которые сам устанавливает... А клиентский трафик через FORWARD идёт... Вот мне и интересно что это за попытки подключений такие... и так много в добавок. _________________
|
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
Madfisht3, учитывай что они сыпятся по УДП-протоколу. Т.е. вероятности того что это атака невелика, тем более что сам сервер дропит эти пакеты! |
|
Вернуться к началу |
|
|
Madfisht3
Участник тусовки
Зарегистрирован: 12.02.2010 Сообщения: 101 Откуда: Russia
|
|
|
|
А если так? :
Dec 27 21:33:38 server kernel: [103799.124238] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=92.101.204.229 DST=[мой адрес] LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=51687 DF PROTO=TCP SPT=1759 DPT=48196 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 27 21:33:41 server kernel: [103802.191066] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=92.101.204.229 DST=[мой адрес] LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=51958 DF PROTO=TCP SPT=1759 DPT=48196 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 27 21:33:42 server kernel: [103802.834922] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=188.115.144.187 DST=[мой адрес] LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=4291 DF PROTO=TCP SPT=52813 DPT=48196 WINDOW=8192 RES=0x00 SYN URGP=0
Dec 27 21:33:47 server kernel: [103808.178640] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=92.101.204.229 DST=[мой адрес] LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=52430 DF PROTO=TCP SPT=1759 DPT=48196 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 27 21:33:47 server kernel: [103808.222004] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=91.196.62.207 DST=[мой адрес] LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4347 DF PROTO=TCP SPT=50201 DPT=48196 WINDOW=8192 RES=0x00 SYN URGP=0
Dec 27 21:33:55 server kernel: [103815.903994] packets_ppp0_newIN=ppp0 OUT= MAC= SRC=95.71.126.85 DST=[мой адрес] LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=17341 PROTO=TCP SPT=49994 DPT=48196 WINDOW=8192 RES=0x00 SYN URGP=0 _________________
|
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
Madfisht3, шальные какие-то пакеты !
Есть такая вещь как привилегированные порты (вы должны знать о них ). Данные пакеты не идут на эти порты - пониковать нечего!
Покажи все правила! |
|
Вернуться к началу |
|
|
|
|