Iptables, blokowanie numeru ip

chmodozmieniacz · Post autor: **chmodozmieniacz** » 14 sierpnia 2011, 23:47

Witam.
Ostatnimi czasy zainteresowała mnie konfiguracja iptables. Chciałbym się dowiedzieć jak wygląda sprawa w zablokowaniu numeru ip.
Dajmy na to taki przykład, wysyłam wielokrotne te same wiadomości w bardzo krótkich odstępach czasu (ang. flood) na port 80 pod

Kod: Zaznacz cały

tcpdump

widać połączenia, poprzez polecenia:

Kod: Zaznacz cały

iptables -A INPUT -s IP -j DROP
iptables -A OUTPUT -s IP -j DROP

blokuję swoje ip lecz nadal mogę wysłać wspomniane wcześniej wiadomości do hosta, nadal jest to widoczne przez tcpdump - i właśnie tego nie rozumiem.

grzesiek · Post autor: **grzesiek** » 15 sierpnia 2011, 09:19

Jeżeli dobrze rozumiem, to wysyłasz pakiety SYN z systemu, na którym próbujesz je blokować poprzez iptables? Jeżeli tak, to do łańcucha OUTPUT powinieneś zastosować selektor przeznaczenia a nie źródła, czyli powinno być:

Kod: Zaznacz cały

iptables -A OUTPUT -d IP -j DROP

Jeżeli wydasz tą komendę po rozpoczęciu powodzi pakietów i nie przerwie ona jej, to znaczy, że przed dodaną regułą istnieje inna, która pozwala na takie połączenia. Taką regułą może być reguła przepuszczająca połączenia już nawiązane.

Polecam Ci lekturę podstaw iptables, to część 1 z 4: http://debian.linux.pl/content/402-Ipta ... cych-cz.-1
Tu masz artykuł o połączeniach nawiązanych: http://debian.linux.pl/content/304-Ipta ... ecia-stanu

chmodozmieniacz · Post autor: **chmodozmieniacz** » 15 sierpnia 2011, 09:34

Dokładnie to pakiety wysyłam z komputera stacjonarnego na mój host, który jest gdzieś tam w sieci (specjalnie pod zabawę z iptables sobie załatwiłem).

Aktualnie iptables jest czyste ale poradniki, które mi przesłałeś z pewnością bardzo mi pomogą.
Czyli do przerwania wysyłania pakietów oprócz mojego polecenia:

Kod: Zaznacz cały

input

muszę zastosować podane przez ciebie, tak?

A jeszcze, czy może jest w sieci jakiś prosty schemat lub skrypt na zabezpieczenie się przed dosem? Nie ukrywam, że właśnie takiego zabezpieczenia potrzebuję.

Znalazłem, oczywiście sam, parę takich skryptów lecz z niewiadomych mi przyczyn blokowały one dostęp ssh po jakimś czasie (oczywiście port ssh był dodany do reguły).

Bastian · Post autor: **Bastian** » 15 sierpnia 2011, 09:55

Do zabezpieczenia przed ddosem wykorzystasz własnie iptables. W artykule grzeska znajdziesz wszystkie potrzebne informacje.

grzesiek · Post autor: **grzesiek** » 16 sierpnia 2011, 18:48

Moduł recent jak dobrze pamiętam, a pamięć mam już słabą