Архив форумов ЦИТФорума

OBaby · Гость

Подскажите как можно записывать инфу о том какие пакеты (с каких адресов) были DROP

BusTeR

ты можешь прологировать пакет только, если для него есть правило. Т.е. ты делаешь правило для запрета хождения пакетов с такого-то хоста или сети к тебе или от тебя и указываешь LOG. А так как ты хочешь журналировать свои пакеты?

Obaby · Гость

Предположим

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.0/8 -j ACCEPT
$IPTABLES -A FORWARD -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

$IPTABLES -A INPUT -p TCP --dport 21 -s $admin_ip -j ACCEPT
$IPTABLES -A INPUT -p TCP --dport 22 -s $admin_ip -j ACCEPT
$IPTABLES -A INPUT -p TCP --dport 23 -s $admin_ip -j ACCEPT

$IPTABLES -A OUTPUT -p TCP --sport 21 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --sport 23 -j ACCEPT

$IPTABLES -A FORWARD -p TCP --dport 21 -s $admin_ip -j ACCEPT
$IPTABLES -A FORWARD -p TCP --sport 21 -d $admin_ip -j ACCEPT
$IPTABLES -A FORWARD -p TCP --dport 22 -s $admin_ip -j ACCEPT
$IPTABLES -A FORWARD -p TCP --sport 22 -d $admin_ip -j ACCEPT

ну а мне нужно знать кто кроме адреса админа пытался зайти на машину и на какой порт?

ryabinkin

BusTeR

ну перед каждым правилом пиши, к примеру:
$IPTABLES -A INPUT -p TCP --dport 21 -s ! $admin_ip -j LOG DROP
$IPTABLES -A INPUT -p TCP --dport 22 -s ! $admin_ip -j LOG DROP
etc

Mranton · Гость

Iptables Tutorial 1.1.19

Автор: Oskar Andreasson

OBaby · Гость

написал скриптец на Перле который перечитывает файлик с адресами маками и портами которые открыты для входа и выхода в одну
например такая строка
192.168.24.5 00:07:E9:39:5C:63 21,22,23,25,901 и так далее
то есть с этой машин с таким IP/MAC разрешить заходы на эти порты
машина на которой работает файерволл 192.168.24.1

скриптец такой :
****************************************************************************************
#!/usr/bin/perl

#open IOW, "workstation/ip.access" || die "Не могу открыть файл!";
#open KOW, ">log/komment.workstation" || die "Не могу открыть файл!";

open IOW, "ip.access" || die "Не могу открыть файл!";
open KOW, ">komment.workstation" || die "Не могу открыть файл!";

# указать расположение iptables
$IPTABLES="`which iptables`";
$n = 1;
# применение политик iptables по умолчанию
`$IPTABLES -F`;
`$IPTABLES -X`;
`$IPTABLES -t nat -F`;
`$IPTABLES -P INPUT DROP`;
`$IPTABLES -P OUTPUT DROP`;
`$IPTABLES -P FORWARD DROP`;

`$IPTABLES -A INPUT -d 127.0.0.0/8 -j ACCEPT`;
`$IPTABLES -A OUTPUT -s 127.0.0.0/8 -j ACCEPT`;

`$IPTABLES -A INPUT -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP`;
`$IPTABLES -A INPUT -p TCP --syn -j ACCEPT`;
`$IPTABLES -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT`;

`$IPTABLES -A INPUT -p ICMP -j ACCEPT`;
`$IPTABLES -A INPUT -p UDP -j ACCEPT`;

# начинаем перечитывать файл с IP адресами
while (<IOW>)
{
chomp;
$all = $_;
if ($all =~ /^\#(?=\s+|\w+)/)
{
print KOW $n, "-ая строка \t", "WARNING:\t", $all, "\n";
$komment++;
}
elsif ($all =~ /^\#$/)
{}
else
{
if ($all =~ /^(\d){1,3}\.(\d){1,3}\.(\d){1,3}\.(\d){1,3}\s+/)
{
$addr = $&;
$port_mac = $';
if ($port_mac = /(\w){2}\ Sad

\w){2}\

\w){2}\

\w){2}\

\w){2}\

\w){2}\s+/)
{
$mac=$&;
$port=$';
$s=0;
if($port != /(\d+)|(\d+)\ Sad

\d+)/)
{
@ports=split(/,/,$port);
foreach $i(@ports)
{
`$IPTABLES -A INPUT -p TCP -s $addr --dport $ports[$s] -m mac --mac-source $mac -j ACCEPT`;
`$IPTABLES -A OUTPUT -p TCP -d $addr --sport $ports[$s] -j ACCEPT`;
$s++;
}
}
else
{
`$IPTABLES -A INPUT -p TCP -s $addr --dport $port -m mac --mac-source $mac -j ACCEPT`;
`$IPTABLES -A OUTPUT -p TCP -d $addr --sport $ports[$s] -j ACCEPT`;
$s++;
}
}
else
{
print "Извините но у вас ошибка в файле адресов (в строке $n). \n";
print KOW $n, "-ая строка \t", "ERROR:\t", $all, "\n";
`$IPTABLES -F`;
`$IPTABLES -X`;
`$IPTABLES -P INPUT ACCEPT`;
`$IPTABLES -P OUTPUT ACCEPT`;
`$IPTABLES -P FORWARD ACCEPT`;
`$IPTABLES -t nat -F`;
exit;
}
}
elsif ($all =~ /^(\d){1,3}\.(\d){1,3}\.(\d){1,3}\.(\d){1,3}(\s+|\/(\d){1,2})\s+/)
{
$addr = $&;
$port = $';
$s=0;
if($port != /(\d+)|(\d+)\ Sad

\d+)/)
{
@ports=split(/,/,$port);
foreach $i(@ports)
{
`$IPTABLES -A INPUT -p TCP -s $addr --dport $ports[$s] -m mac --mac-source $mac -j ACCEPT`;
`$IPTABLES -A OUTPUT -p TCP -d $addr --sport $ports[$s] -j ACCEPT`;
$s++;
}
}
else
{
`$IPTABLES -A INPUT -p TCP -s $addr --dport $port -m mac --mac-source $mac -j ACCEPT`;
`$IPTABLES -A OUTPUT -p TCP -d $addr --sport $ports[$s] -j ACCEPT`;
$s++;
}
}
else
{
print "Извините но у вас ошибка в файле адресов (в строке $n). Дополнительная информация помещена в файл komment.workstation\n";
print KOW $n, "-ая строка \t", "ERROR:\t", $all, "\n";
`$IPTABLES -F`;
`$IPTABLES -X`;
`$IPTABLES -P INPUT ACCEPT`;
`$IPTABLES -P OUTPUT ACCEPT`;
`$IPTABLES -P FORWARD ACCEPT`;
`$IPTABLES -t nat -F`;
exit;
}
}
$n++;
}

`$IPTABLES -A OUTPUT -p ICMP -j ACCEPT`;
`$IPTABLES -A OUTPUT -p UDP -j ACCEPT`;

close IOW;
close KOW;

и что то никак не получаетсязайти с этой машины например по ssh
iptables -L выдает

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere 127.0.0.0/8
DROP tcp -- anywhere anywhere tcp flags:SYN,ACK/SYN,ACK state NEW
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ftp MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:smtp MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:pop3 MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-ns MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-dgm MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-ssn MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:microsoft-ds MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ircd MAC 00:07:E9:39:5C:63

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 127.0.0.0/8 anywhere
ACCEPT tcp -- anywhere asodu.okb tcp spt:ftp
ACCEPT tcp -- anywhere asodu.okb tcp spt:smtp
ACCEPT tcp -- anywhere asodu.okb tcp spt:pop3
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-ns
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-dgm
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-ssn
ACCEPT tcp -- anywhere asodu.okb tcp spt:microsoft-ds
ACCEPT tcp -- anywhere asodu.okb tcp spt:ircd
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere

что не правильно скажите а то уже замучился ?

Crying or Very sad

xt

Чего-то не видно в твоём скрипте действия LOG.
Иди как тебе советовали на http://www.opennet.ru/docs/RUS/iptables/ очень хороший мануал по сабжу.

OBaby · Гость

LOG осуществлен в другом месте.
А здесь почему то не работает именно сам скрипт, не хочет пускать на порты
В чем проблема в скрипте?

xt

так. стоп!
Скрипт без ошибок отрабатывает? Если да - смотри результат его работы iptables -L и сюда кинь.

OBaby · Гость

уже кидал ... короче лови исчо раз

target prot opt source destination
ACCEPT all -- anywhere 127.0.0.0/8
DROP tcp -- anywhere anywhere tcp flags:SYN,ACK/SYN,ACK state NEW
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ftp MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:smtp MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:pop3 MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-ns MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-dgm MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-ssn MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:microsoft-ds MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ircd MAC 00:07:E9:39:5C:63

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 127.0.0.0/8 anywhere
ACCEPT tcp -- anywhere asodu.okb tcp spt:ftp
ACCEPT tcp -- anywhere asodu.okb tcp spt:smtp
ACCEPT tcp -- anywhere asodu.okb tcp spt:pop3
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-ns
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-dgm
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-ssn
ACCEPT tcp -- anywhere asodu.okb tcp spt:microsoft-ds
ACCEPT tcp -- anywhere asodu.okb tcp spt:ircd
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere

xt

Говоришь по SSH не пускает? Что-то его не видно в ИНПУТ:

OBaby · Гость

сори я её пропустил когда копировал
вот Sad

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere 127.0.0.0/8
DROP tcp -- anywhere anywhere tcp flags:SYN,ACK/SYN,ACK state NEW
ACCEPT tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ftp MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ssh MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:smtp MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:pop3 MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-ns MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-dgm MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:netbios-ssn MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:microsoft-ds MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:ircd MAC 00:07:E9:39:5C:63
ACCEPT tcp -- asodu.okb anywhere tcp dpt:37982 MAC 00:07:E9:39:5C:63

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 127.0.0.0/8 anywhere
ACCEPT tcp -- anywhere asodu.okb tcp spt:ftp
ACCEPT tcp -- anywhere asodu.okb tcp spt:ssh
ACCEPT tcp -- anywhere asodu.okb tcp spt:smtp
ACCEPT tcp -- anywhere asodu.okb tcp spt:pop3
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-ns
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-dgm
ACCEPT tcp -- anywhere asodu.okb tcp spt:netbios-ssn
ACCEPT tcp -- anywhere asodu.okb tcp spt:microsoft-ds
ACCEPT tcp -- anywhere asodu.okb tcp spt:ircd
ACCEPT tcp -- anywhere asodu.okb tcp spt:37982
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere

а также не могу зайти с этой машины например по тому же ssh на другую

xt

1.Твоя машина и сервер в одном сегменте???(отрабатывает ли MAC правило?)
2.
`$IPTABLES -A INPUT -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP`;
`$IPTABLES -A INPUT -p TCP --syn -j ACCEPT`;
как я понял это для отбраковки пакетов не входящих ни в одно соединение и с неустановленным флагом syn.
замени их вот на это:
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
3. Если не помогло
Добавь такие стоки в скрипт:
после - $IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset

$IPTABLES -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"

в конец цепочки инпут -
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level ALERT --log-prefix "IPT INPUT packet died: "
в конец аутпут -
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level ALERT --log-prefix "IPT OUTPUT packet died: "
и читай логи.

OBaby · Гость

ок ... заработало
а почему теперь с этой машины я не могу зайти на другие (например этот же ssh)

xt

потому что в OUTPUT нет правила для этого ))))))

OBaby · Гость

`$IPTABLES -A OUTPUT -p TCP -d $addr --sport $ports[$s] -j ACCEPT`;
а что разве эта строчка не отвечает этим требованиям?

OBaby · Гость

в выхлдную цепочку подставляются теже адреса и порты только без МАК что и во входную

или я что то не понимаю? Как тогда правильно написать ...

xt

OBaby · Гость

Спасибо ...
вроде работает

OBaby · Гость

xt подскажи исчо плиз ...
а с форвардингом также ?

$IPTABLES -A FORWARD -p TCP --dport $ports[$s] -s $addr -m mac --mac-source $mac -j ACCEPT
$IPTABLES -A FORWARD -p TCP --sport $ports[$s] -d $addr -m mac --mac-source $mac -j ACCEPT

этого достаточно?

xt

Это для пакетов следующих наружу:
$IPTABLES -A FORWARD -p TCP --dport $ports[$s] -s $addr -m mac --mac-source $mac -j ACCEPT
снаружи к нам, этих критериев должно быть достаточно:
$IPTABLES -A FORWARD -p TCP --sport $ports[$s] -m state ESTABLISHED,RELATED -j ACCEPT

OBaby · Гость

Сейчас в логах с периодичностью примерно 2 раза в минуту сыплется такая строчка
Nov 10 16:20:02 serv kernel: IPT OUTPUT packet died: IN= OUT=eth1 SRC=172.16.7.14 DST=172.16.0.10 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=113 DPT=43281 WINDOW=0 RES=0x00 ACK RST URGP=0

типа пакет с порта 113 на 43281 (каждый раз разные) был died
как от этого избавиться кто посылает эти пакеты?

xt

Судя по адресам машины во внутр. сети, так что ты сам можешь проверить что к чему.
113 порт это сервис ident, устарел и не используется если на 172.16.7.14 есть сквид то это его работа, но не факт...

OBaby · Гость

нет сквид не стоит. Кто исчо может слать таки запросы.

Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 172.16.7.14:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 172.16.7.14:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 172.16.7.14:33569 172.16.0.5:22 ESTABLISHED
tcp 0 0 172.16.7.14:33757 172.16.0.17:37982 ESTABLISHED
tcp 0 0 172.16.7.14:33758 172.16.0.17:37982 ESTABLISHED
tcp 0 0 172.16.7.14:33760 172.16.0.17:37982 ESTABLISHED
tcp 0 0 172.16.7.14:33764 172.16.0.17:37982 ESTABLISHED
tcp 0 0 172.16.7.14:33252 172.16.0.10:6667 ESTABLISHED
tcp 0 0 172.16.7.14:33765 172.16.0.10:110 TIME_WAIT
udp 0 0 172.16.7.14:137 0.0.0.0:*
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 172.16.7.14:138 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*

xt

да любой который поддерживает ident и проверка такого типа включена у него в конфигах, если всё и так работает, то убирай строчку LOG из фаервола и живи спокойно.

omar22 · Гость

при вызове iptables -L
Chain INPUT (policy DROP)
target prot opt source destination

и все ... так и висит в подвисшем состоянии... в чем дело

xt

	Список форумов Архив форумов ЦИТФорума -> Unix	Часовой пояс: GMT + 3
Страница 1 из 1