Попробуйте обновить правило iptables до 1. 4, у меня 2. 6. 18-194 32 - Администрирование серверов

Помогите с iptables

mower · 2011-04-27T10:40:17.0000000Z

Здравствуйте. Сейчас пытаюсь донастроить iptables для защиты от доса, оказалось что все дыряво. До этого считал что надо только 80 порт защищать, а оказалось ложится все и в другие. Вот открытые порты [root@server ~]# nc -v -w 4 -z localhost 1-10000 | grep "succeed" Connection to localhost 21 port [tcp/ftp] succeeded! Connection to localhost 22 port [tcp/ssh] succeeded! Connection to localhost 25 port [tcp/smtp] succeeded! Connection to localhost 53 port [tcp/domain] succeeded! Connection to localhost 110 port [tcp/pop3] succeeded! Connection to localhost 111 port [tcp/sunrpc] succeeded! Connection to localhost 143 port [tcp/imap] succeeded! Connection to localhost 443 port [tcp/https] succeeded! Connection to localhost 631 port [tcp/ipp] succeeded! Connection to localhost 772 port [tcp/cycleserv2] succeeded! Connection to localhost 953 port [tcp/rndc] succeeded! Connection to localhost 993 port [tcp/imaps] succeeded! Connection to localhost 995 port [tcp/pop3s] succeeded! Connection to localhost 8080 port [tcp/webcache] succeeded! 80 - nginx, проксирует на 8080 httpd Первая дыра оказалось, что на :8080 можно было напрямую заходить, добавил правило iptables -A INPUT -p tcp --dport 8080 ! -s ip_servera -j DROP Вроде теперь все ок. Теперь надо с другими портами что-то решить. Посмотрел как часто они используются - не очень часто. Надо именно защита от доса, т.е. допустим чтобы в минут можно было обратиться к ним не более чем с 5 разных ip, или может какие-то другие советы есть, особенно интересует как составить правило

63

mower

27 апреля 2011, 14:03

#21

За рабочее решение плачу 10 баксов первому составившему правило:

ТЗ такое:

в порт (25, 53, 110, 972 - главное, не в 80) долбят 10000 ботов. Нужно от них закрыться.

Нужно правило iptables ограничивающее подключения к портам допустим с 5 разных ip в минуту. Т.о. на работоспособность это не повлияет т.к. порты используются очень редко, а в случае ддос этот ограничитель будет отсеивать весь трафик, пропуская только 5 ип в минуту.

Решений типа блокировать всех не предлагать.

О фильтрации склика в Как используют мобильную связь Как приостановить работу сайта

M

235

madoff

27 апреля 2011, 14:11

#22


/sbin/iptables -F INPUT
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 25 -m hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 53 -m hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p udp --dport 53 -m hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 110 -m hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate NEW -p tcp --dport 972 -m hashlimit  15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 53 -j DROP
/sbin/iptables -A INPUT -p udp --dport 53 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 110 -j DROP
/sbin/iptables -A INPUT -p tcp --dport 972 -j DROP

Убрал upto - эти паравела на Centos - в полне возможно не сходятся с Debian =)

Администратор Linux,Freebsd. построения крупных проектов.

63

mower

27 апреля 2011, 14:14

#23

Вот это уже интересно. Сейчас поставлю , если защитит от доса -тогда все правильно работает

mower добавил 27.04.2011 в 18:21

[root@server ~]# iptables -I ddos3 -m conntrack --ctstate NEW -p tcp --dport 53 -m hashlimit --hashlimit-upto 5/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT

iptables v1.3.5: Unknown arg `--hashlimit-upto'

Try `iptables -h' or 'iptables --help' for more information.

вот выписка из man

hashlimit
This patch adds a new match called Б─≥hashlimitБ─≥. The idea is to have something like Б─≥limitБ─≥, but either per destination-ip or per
(destip,destport) tuple.

It gives you the ability to express

Б─≥1000 packets per second for every host in 192.168.0.0/16Б─≥

Б─≥100 packets per second for every service of 192.168.1.1Б─≥

with a single iptables rule.

--hashlimit rate
A rate just like the limit match

--hashlimit-burst num
Burst value, just like limit match

--hashlimit-mode destip | destip-destport
Limit per IP or per port

--hashlimit-name foo
The name for the /proc/net/ipt_hashlimit/foo entry

--hashlimit-htable-size num
The number of buckets of the hash table

--hashlimit-htable-max num
Maximum entries in the hash

--hashlimit-htable-expire num
After how many miliseconds do hash entries expire

--hashlimit-htable-gcinterval num
How many miliseconds between garbage collection intervals

mower добавил 27.04.2011 в 18:30

[root@server ~]# iptables -A ddos3 -m conntrack --ctstate NEW -p tcp --dport 53 -m hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT Bad argument `15/min'

видимо у меня старая версия iptables, если его обновить это ведь безболезненно будет?

mower добавил 27.04.2011 в 18:41

Linux 2.6.18-194.32.1.el5 #1 SMP Wed Jan 5 17:52:25 EST 2011 x86_64 x86_64 x86_64 GNU/Linux

iptables v1.3.5:

mower добавил 27.04.2011 в 19:00

сделал yum update -y, ребутнул - ничего не обновлиось, iptables тот же версии 1.3

60+ способов использования операторов Успешный сайт для Google Технология «Спектр» Яндекса и

R

77

r0mik

27 апреля 2011, 17:19

#24

mower:
Bad argument `15/min'

-m hashlimit --hashlimit 15/min

mower:
сделал yum update -y, ребутнул

тихий ужас...

M

235

madoff

27 апреля 2011, 17:33

#25

Я почемуто подумал что у вас debian плохой с меня телепат.

63

mower

27 апреля 2011, 19:37

#26

ок, я попробую завтра седня уже голова не варит, спасибо

пс. это не тихий ужас, лучше бы написали как этот айпитейблс обновить до 1.4, у меня 1.3

пс2. операционка центос

Яндекс обновил базу Яндекс.Картинок Google «слегка обновил» алгоритм В плагине All In

M

235

madoff

27 апреля 2011, 19:43

#27

iptables -v

cat /etc/issue

uname -a

63

mower

28 апреля 2011, 07:57

#28

[root@server ~]# iptables -F ddos3

[root@server ~]# iptables -A ddos3 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

[root@server ~]# iptables -A ddos3 -m conntrack --ctstate NEW -p tcp --dport 53 -m hashlimit --hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT

[root@server ~]# iptables -A ddos3 -m conntrack --ctstate NEW -p udp --dport 53 -m hashlimit --hashlimit 15/min --hashlimit-mode srcip --hashlimit-name hash -j ACCEPT

[root@server ~]# iptables -A ddos3 -p tcp --dport 53 -j DROP

[root@server ~]# iptables -A ddos3 -p udp --dport 53 -j DROP

Вроде добавилось, теперь когда человек один на связь выйдет попрошупроверить защиту порта 53, до этого сервер валился в момент

============================

[root@server ~]# iptables -v

iptables v1.3.5: no command specified

Try `iptables -h' or 'iptables --help' for more information.

[root@server ~]# cat /etc/issue

CentOS release 5.5 (Final)

Kernel \r on an \m

[root@server ~]# uname -a

Linux === 2.6.18-194.32.1.el5 #1 SMP Wed Jan 5 17:52:25 EST 2011 x86_64 x86_64 x86_64 GNU/Linux

ТИЦ: интересные изменения 13-01-07 Роман Мандрик Вирусный маркетинг:

115

iamsens

28 апреля 2011, 09:35

#29

madoff:
Нету слов....

ТЗ такое:
в порт (25, 53, 110, 972 - главное, не в 80) долбят 10000 ботов. Нужно от них закрыться.

человек немного в танке, он не понимает что лишних портов открыто быть не должно

п.с. два раза уже в топике намекал

а если сервер падает "в момент" от запросов на 53-й порт, то наверно дело не в ДДОСе

8 развенчанных SEO-мифов. Часть Google готовит обновление инструмента Яндекс.Поиск: почему находится все

247

Raistlin

28 апреля 2011, 09:45

#30

iamsens, не немного, а наглухо.

HostAce - Асы в своем деле (http://hostace.ru)

Что такое Power BI и зачем это нужно бизнесу

Open AI тестирует память для ChatGPT

Помогите с iptables