заполнение таблицы ipfw
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
заполнение таблицы ipfw
Доброго всем суток! У меня вопрос, может ли ipfw добавлять ip из логов в таблицу ?
Последний раз редактировалось f_andrey 2012-07-23 13:56:22, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: заполнение таблицы ipfw
сам - нет, но написать скрипт, который будет парсить логи и добавлять это в таблицу - это возможно.
-
- проходил мимо
Re: заполнение таблицы ipfw
я пытаюсь написать правила от брутфорса, поэтому и спрашиваю. а что если использовать ipfwcount вместо счетчика ? считать количество ip-адресов, после 3 совпадений блокировать ip-адрес ?
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2012-07-03 12:59:35
Re: заполнение таблицы ipfw
Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: заполнение таблицы ipfw
solodorik что вы хотите в итоге получить? нужна защита от брутфорса - так и напишите. Решений не мало.
-
- проходил мимо
Re: заполнение таблицы ipfw
sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
-
- проходил мимо
Re: заполнение таблицы ipfw
да она нужна, какие например решения есть ?skeletor писал(а):solodorik что вы хотите в итоге получить? нужна защита от брутфорса - так и напишите. Решений не мало.
-
- проходил мимо
Re: заполнение таблицы ipfw
да она нужна, какие например решения есть ?skeletor писал(а):solodorik что вы хотите в итоге получить? нужна защита от брутфорса - так и напишите. Решений не мало.
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: заполнение таблицы ipfw
Одно из решений привели выше. Вот список наиболее популярных bruteblock, denyhosts, fail2ban, sshguard,sshit, blocksshd.
-
- капитан
- Сообщения: 1820
- Зарегистрирован: 2010-12-25 20:41:50
- Откуда: Хлебная столица
Re: заполнение таблицы ipfw
Легко. Парсите лог, считаете количество критических значений, загоняете в таблицу.
Под root или с помощью sudo.
Под root или с помощью sudo.
-
- проходил мимо
Re: заполнение таблицы ipfw
Можешь скинуть решение ?Bayerische писал(а):Легко. Парсите лог, считаете количество критических значений, загоняете в таблицу.
Под root или с помощью sudo.
-
- капитан
- Сообщения: 1820
- Зарегистрирован: 2010-12-25 20:41:50
- Откуда: Хлебная столица
Re: заполнение таблицы ipfw
Чтобы скинуть решение, надо знать, что решать.
Всё по месту подгоняется, само собой.
Всё по месту подгоняется, само собой.
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2012-07-03 12:59:35
Re: заполнение таблицы ipfw
ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.solodorik писал(а):sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.
-
- проходил мимо
Re: заполнение таблицы ipfw
а правила есть ?egorchik писал(а):ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.solodorik писал(а):sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.
-
- проходил мимо
Re: заполнение таблицы ipfw
можно будет поставить правила такие что
add deny tcp from any to y.y.y.y 22 in via ${внешний интерфейс шлюза}
add allow tcp from x.x.x.x to y.y.y.y 22 in via ${внешний интерфейс шлюза}
Где:
х.х.х.х - это твой внешний ип адрес, с которого будешь подключаться
y.y.y.y - внешний Ip шлюза к которому подключаешься
и по аналогии поставить такие же правила для других портов? например 23,25, 80, 8080, 110, 21 и др?
add deny tcp from any to y.y.y.y 22 in via ${внешний интерфейс шлюза}
add allow tcp from x.x.x.x to y.y.y.y 22 in via ${внешний интерфейс шлюза}
Где:
х.х.х.х - это твой внешний ип адрес, с которого будешь подключаться
y.y.y.y - внешний Ip шлюза к которому подключаешься
и по аналогии поставить такие же правила для других портов? например 23,25, 80, 8080, 110, 21 и др?
-
- проходил мимо
Re: заполнение таблицы ipfw
Код: Выделить всё
man ipfw
The packet passed to the firewall is
compared against each of the rules in the ruleset, in rule-number order
(multiple rules with the same number are permitted, in which case they
are processed in order of insertion). When a match is found, the action
corresponding to the matching rule is performed.
-
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2012-07-03 12:59:35
Re: заполнение таблицы ipfw
У меня стоит правилоsolodorik писал(а):а правила есть ?egorchik писал(а):ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.solodorik писал(а):sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.
Код: Выделить всё
# Правило для Бана
${fw} add drop ip from table\(0\) to any
Кто-то любит разбивать по каждому сервису отдельно баны, то есть несколько таблиц тогда.
Критерии, по которым отбираются претенденты и в какие таблицы пихаются - настраиваются в конфигах Fail2Ban, там все просто
-
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2012-07-23 16:11:33
Re: заполнение таблицы ipfw
а как определить ip, который стоит банить ?egorchik писал(а):У меня стоит правилоsolodorik писал(а):а правила есть ?egorchik писал(а):ну не знаю, у меня fail2ban работает отлично. Не разу не видел, что у брутфорсера получалось больше попыток подбора чем в конфиге прописано.solodorik писал(а):sshguard, fail2ban, bruteblock и другие подобные утилиты работают очень медленно, по сравнению с правилом или скриптом.egorchik писал(а):Есть множество готовых решений на этот счет
например fail2ban http://www.lissyara.su/articles/freebsd ... /fail2ban/
Fail2Ban вроде на питоне написан, он детектит ротацию логов и тп. Вы скрипт как планируйте запускать? Кроном? Любые решения в виде демона явно быстрее.Fail2Ban добавляет IPшники брутфорсеров в таблицу.Код: Выделить всё
# Правило для Бана ${fw} add drop ip from table\(0\) to any
Кто-то любит разбивать по каждому сервису отдельно баны, то есть несколько таблиц тогда.
Критерии, по которым отбираются претенденты и в какие таблицы пихаются - настраиваются в конфигах Fail2Ban, там все просто
извиняюсь, меня наверно неправильно поняли. мне хотелось как защитить от брутфорса правилам IPFW порты ftp,smtp,http,pop3,mysqld,https, ftps, ustp, imap, ipmaps, pop3s. У кого есть правила буду премного благодарен)
-
- проходил мимо
Re: заполнение таблицы ipfw
ребят не ужение нет никаких правил по их блокировки или способов кроме скриптов и утилит ?