заполнение таблицы ipfw

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
solodorik
проходил мимо

заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-23 11:47:43

Доброго всем суток! У меня вопрос, может ли ipfw добавлять ip из логов в таблицу ?
Последний раз редактировалось f_andrey 2012-07-23 13:56:22, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: заполнение таблицы ipfw

Непрочитанное сообщение skeletor » 2012-07-23 12:21:15

сам - нет, но написать скрипт, который будет парсить логи и добавлять это в таблицу - это возможно.

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-23 14:53:12

я пытаюсь написать правила от брутфорса, поэтому и спрашиваю. а что если использовать ipfwcount вместо счетчика ? считать количество ip-адресов, после 3 совпадений блокировать ip-адрес ?

egorchik
проходил мимо
Сообщения: 9
Зарегистрирован: 2012-07-03 12:59:35

Re: заполнение таблицы ipfw

Непрочитанное сообщение egorchik » 2012-07-23 15:09:35

Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: заполнение таблицы ipfw

Непрочитанное сообщение skeletor » 2012-07-23 16:02:32

solodorik что вы хотите в итоге получить? нужна защита от брутфорса - так и напишите. Решений не мало.

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-23 16:07:52

egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-23 16:09:38

skeletor писал(а):solodorik что вы хотите в итоге получить? нужна защита от брутфорса - так и напишите. Решений не мало.
да она нужна, какие например решения есть ?

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-23 16:10:00

skeletor писал(а):solodorik что вы хотите в итоге получить? нужна защита от брутфорса - так и напишите. Решений не мало.
да она нужна, какие например решения есть ?

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: заполнение таблицы ipfw

Непрочитанное сообщение skeletor » 2012-07-23 16:59:45

Одно из решений привели выше. Вот список наиболее популярных bruteblock, denyhosts, fail2ban, sshguard,sshit, blocksshd.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: заполнение таблицы ipfw

Непрочитанное сообщение Bayerische » 2012-07-23 17:38:07

Легко. Парсите лог, считаете количество критических значений, загоняете в таблицу.
Под root или с помощью sudo.

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-24 20:04:32

Bayerische писал(а):Легко. Парсите лог, считаете количество критических значений, загоняете в таблицу.
Под root или с помощью sudo.
Можешь скинуть решение ?

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: заполнение таблицы ipfw

Непрочитанное сообщение Bayerische » 2012-07-24 20:08:49

Чтобы скинуть решение, надо знать, что решать.
Всё по месту подгоняется, само собой.

egorchik
проходил мимо
Сообщения: 9
Зарегистрирован: 2012-07-03 12:59:35

Re: заполнение таблицы ipfw

Непрочитанное сообщение egorchik » 2012-07-25 9:35:26

solodorik писал(а):
egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.
ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-26 7:12:53

egorchik писал(а):
solodorik писал(а):
egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.
ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.
а правила есть ?

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-26 9:39:08

можно будет поставить правила такие что
add deny tcp from any to y.y.y.y 22 in via ${внешний интерфейс шлюза}
add allow tcp from x.x.x.x to y.y.y.y 22 in via ${внешний интерфейс шлюза}
Где:
х.х.х.х - это твой внешний ип адрес, с которого будешь подключаться
y.y.y.y - внешний Ip шлюза к которому подключаешься

и по аналогии поставить такие же правила для других портов? например 23,25, 80, 8080, 110, 21 и др?

Анонимус Негодуе
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение Анонимус Негодуе » 2012-07-26 10:47:48

Код: Выделить всё

man ipfw
читать до просветления

The packet passed to the firewall is
compared against each of the rules in the ruleset, in rule-number order
(multiple rules with the same number are permitted, in which case they
are processed in order of insertion). When a match is found, the action
corresponding to the matching rule is performed.

egorchik
проходил мимо
Сообщения: 9
Зарегистрирован: 2012-07-03 12:59:35

Re: заполнение таблицы ipfw

Непрочитанное сообщение egorchik » 2012-07-26 11:36:32

solodorik писал(а):
egorchik писал(а):
solodorik писал(а):
egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.
ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.
а правила есть ?
У меня стоит правило

Код: Выделить всё

# Правило для Бана
${fw} add drop ip from table\(0\) to any
Fail2Ban добавляет IPшники брутфорсеров в таблицу.
Кто-то любит разбивать по каждому сервису отдельно баны, то есть несколько таблиц тогда.
Критерии, по которым отбираются претенденты и в какие таблицы пихаются - настраиваются в конфигах Fail2Ban, там все просто

Nadman
проходил мимо
Сообщения: 1
Зарегистрирован: 2012-07-23 16:11:33

Re: заполнение таблицы ipfw

Непрочитанное сообщение Nadman » 2012-07-26 17:27:16

egorchik писал(а):
solodorik писал(а):
egorchik писал(а):
solodorik писал(а):
egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.
ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.
а правила есть ?
У меня стоит правило

Код: Выделить всё

# Правило для Бана
${fw} add drop ip from table\(0\) to any
Fail2Ban добавляет IPшники брутфорсеров в таблицу.
Кто-то любит разбивать по каждому сервису отдельно баны, то есть несколько таблиц тогда.
Критерии, по которым отбираются претенденты и в какие таблицы пихаются - настраиваются в конфигах Fail2Ban, там все просто
а как определить ip, который стоит банить ?

извиняюсь, меня наверно неправильно поняли. мне хотелось как защитить от брутфорса правилам IPFW порты ftp,smtp,http,pop3,mysqld,https, ftps, ustp, imap, ipmaps, pop3s. У кого есть правила буду премного благодарен)

solodorik
проходил мимо

Re: заполнение таблицы ipfw

Непрочитанное сообщение solodorik » 2012-07-28 1:40:23

ребят не ужение нет никаких правил по их блокировки или способов кроме скриптов и утилит ?