Странное поведение portsentry и ipfw

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
teoss
рядовой
Сообщения: 20
Зарегистрирован: 2009-08-28 15:11:53

Странное поведение portsentry и ipfw

Непрочитанное сообщение teoss » 2012-07-26 9:37:20

Приветствую всех!
Столкнулся с непонятным для себя поведением ipfw и portsentry. Надеюсь на помощь знающих людей.
Имеется сервер на FreeBSD 7.4-RELEASE-p8. Настроен и работает portsentry, который работает, пишет в логи, добавляет правила в ipfw на запрет соединений при обнаружении пакетов на слушаемые порты. Но вот вчера обнаружил что сервер перестал отвечать на запросы извне, перестал пинговаться, по ssh не коннектился, веб сервер не отвечал. Когда добрался до консоли, то обнаружил следующее: все сетевые интерфесы работают, шлюз провайдера пингуется, пингуются сайты провайдера, некоторые сайты, например яндекс,пингуются, остальные(большинство) - не пингуются. Посмотрел конфигурацию ipfw. Обратил внимание на то что portsentry создал много ( после пересчета - 43 правила) запретов соединений в начале списка правил ipfw. После команды

Код: Выделить всё

ipfw delete 1
все правила, созданные portsentry были удалены и сервер сразу же стал виден снаружи и все стало нормально работать. Спохватился что не сохранил правила, добавленные portsentry в файл и сделал printscreen с экрана. Вот запрещающие правила, добавленные portsentry:

Код: Выделить всё

xxxxx# ipfw show | less
00001                  0                        0 deny   ip from 121.237.30.9 to any
00001                  0                        0 deny   ip from 67.78.157.106 to any
00001                  0                        0 deny   ip from 193.106.73.64 to any
00001                  1                       40 deny   ip from 1.34.22.39 to any
00001                  0                        0 deny   ip from 122.66.218.247 to any
00001                  0                        0 deny   ip from 37.55.169.24 to any
00001                  0                        0 deny   ip from 95.132.208.48 to any
00001                  0                        0 deny   ip from 95.132.216.94 to any
00001                  0                        0 deny   ip from 198.101.210.57 to any
00001                  0                        0 deny   ip from 95.132.84.213 to any
00001                  0                        0 deny   ip from 46.105.111.69 to any
00001                  0                        0 deny   ip from 180.75.107.100 to any
00001                  0                        0 deny   ip from 113.12.228.72 to any
00001                  0                        0 deny   ip from 65.41.153.133 to any
00001                  0                        0 deny   ip from 220.133.243.121 to any
00001                  0                        0 deny   ip from 134.3.142.7 to any
00001                  0                        0 deny   ip from 121.237.30.9 to any
00001                  0                        0 deny   ip from 67.78.157.106 to any
00001                  0                        0 deny   ip from 193.106.73.64 to any
00001                  1                       40 deny   ip from 1.34.22.39 to any
00001                  0                        0 deny   ip from 122.66.218.247 to any
00001                  0                        0 deny   ip from 37.55.169.24 to any
00001                  0                        0 deny   ip from 95.132.208.48 to any
00001                  0                        0 deny   ip from 95.132.216.94 to any
00001                  0                        0 deny   ip from 198.101.210.57 to any
00001                  0                        0 deny   ip from 95.132.84.213 to any
00001                  0                        0 deny   ip from 46.105.111.69 to any
00001                  0                        0 deny   ip from 180.75.107.100 to any
00001                  0                        0 deny   ip from 113.12.228.72 to any
00001                  0                        0 deny   ip from 65.41.153.133 to any
00001                  0                        0 deny   ip from 220.133.243.121 to any
00001                  0                        0 deny   ip from 134.3.142.7 to any
00001                  0                        0 deny   ip from 163.27.118.132 to any
00001                  0                        0 deny   ip from 110.249.27.93 to any
00001                  0                        0 deny   ip from 14.104.20.73 to any
00001                  0                        0 deny   ip from 95.6.46.101 to any
00001                  0                        0 deny   ip from 113.22 6.79.199 to any
00001                  0                        0 deny   ip from 14.213.19.220 to any
00001                  0                        0 deny   ip from 50.79.249.194 to any
00001                  0                        0 deny   ip from 59.56.213.182 to any
00001                  0                        0 deny   ip from 122.116.14.93 to any
00001                  8                      451 deny   ip from 183.5.44.91 to any
00001                  17                     704 deny   ip from 124.67.69.123 to any
00100     6922     4697672 allow ip from any to any via lo0
Замечу, что нули в количестве отфильтрованных пакетов у большинства правил из-за того, что обнулял счетчики за несколько дней до этого.
Из листинга видно что некоторые правила здесь повторяются по нескольку раз.
В файлах portsentry.blocked.tcp и portsentry.blocked.udp повторений ip адресов нет.
Отсюда хочу задать первый вопрос: почему некоторые правила повторяются? Ведь если правило добавлено один раз, то с этого ip пакеты больше не проходят через ipfw и соответственно portsentry не может среагировать повторно.
И вопрос второй: почему после удаления правил с номером 00001 сервер заработал нормально ?
Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

teoss
рядовой
Сообщения: 20
Зарегистрирован: 2009-08-28 15:11:53

Re: Странное поведение portsentry и ipfw

Непрочитанное сообщение teoss » 2012-07-30 15:54:04

Интересно, есть ли какое-то ограничение на количество правил с одинаковым номером в ipfw ?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Странное поведение portsentry и ipfw

Непрочитанное сообщение kharkov_max » 2012-10-02 14:00:27

Возможно уже не актуально но !!!

Не проще ли пихать IP сканеров в таблицу или таблицы и правила в фаере соответствующие.
Как же не мешало бы настроить удаление из таблиц по времени.

К примеру вы забанили IP, так разрешите его через N дней (30 к примеру) удалив из таблицы.
Таким образом можно замедлить рост таблиц ...

Но в любом случае рано или поздно их придется чистить руками, ну или бан на несколько 2-3 дня или часа.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Странное поведение portsentry и ipfw

Непрочитанное сообщение Bayerische » 2015-05-16 9:16:56

Проще-проще…
А ещё текущая версия не делает блок+внешняя команда. Или-или.
А ещё в комплекте какой-то дебильный rc.d.