proftpd && ipfw

[xaker1]

Добрый день всем.
Последнее время появился кто-то очень настойчиво роняющий ftp у меня.

Код: Выделить всё

#/> ps ax | grep prof
87775  ??  Ss     0:00.31 proftpd: (accepting connections) (proftpd)
89996  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:59929) (proftpd)
89997  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:45377) (proftpd)
89998  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:59984) (proftpd)
89999  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:49245) (proftpd)
90000  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60723) (proftpd)
90001  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:41384) (proftpd)
90002  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:45679) (proftpd)
90003  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60231) (proftpd)
90004  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60286) (proftpd)
90005  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:49547) (proftpd)
90006  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:41686) (proftpd)
90007  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:32792) (proftpd)
90009  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:45981) (proftpd)
90010  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60533) (proftpd)
90011  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60588) (proftpd)
90012  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:49849) (proftpd)
90013  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:33094) (proftpd)
90014  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:41988) (proftpd)
90018  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:46283) (proftpd)
90019  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60835) (proftpd)
90020  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:60890) (proftpd)
90021  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:50151) (proftpd)
90022  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:33396) (proftpd)
90023  ??  S      0:00.00 proftpd: connected: h1826927.stratoserver.net (::ffff:85.214.211.21:42290) (proftpd)
# ipfw show
...
01200   5532    334632 deny ip from table(7) to me
...
# ipfw table 7 list
85.214.211.21/32 0

Но почему фаервол его пропускает?

Помогает последовательный перезапуск фаерволла и proftpd

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

покажьте все правила ipfw

[xaker1]

Код: Выделить всё

 ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100 allow ip from table(4) to any
01200 deny ip from table(7) to me
01300 deny tcp from table(1) to me dst-port 22 setup
01400 deny tcp from table(2) to me dst-port 25 setup
01500 deny tcp from table(3) to me dst-port 80,8080 setup
01600 reject log logamount 1000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg
01700 reject log logamount 1000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg
01800 reject log logamount 1000 tcp from any to any not established tcpflags fin
01900 deny log logamount 1000 ip from any to any not verrevpath in
02000 allow tcp from any to me dst-port 80,8080 setup limit src-addr 10
02100 allow tcp from any to me dst-port 21 setup limit src-addr 10
65535 allow ip from any to any

В таблице 4 нет данного ip

[vadim64]

хммм... пробовали с помощью ipfw -d show посмотреть от какого правила для этого адреса создается динамическое правило???

[hranitel_y2k]

Может дело в ip6?
Хотя если судить по счетчикам, правило 1200 работает.
Попробуйте добавить:

Код: Выделить всё

ipfw add 1200 deny ip6 from table(7) to me

[vadim64]

Может дело в ip6?]

ДжэкПот! Адрес то в логах ipv6 ::ffff:85.214.211.21

[sudo]

У Вас не фаерволл, а хуйня какая-то, извиняюсь за выражение.
Поставьте 100 коннектов в минуту максимальное обращение на 21-й порт. Не думаю, что там больше ломятся о делу.

[xaker1]

Проблема ушла. Видимо эффект присутствия работает даже удаленно
Это ipv4, просто сервер потихоньку приучаем к 6-й версии. Он и стал кое-где так показывать ip.