ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
barbosaאורח · ·
 

הודעה פורסם: 22/03/2016 - 13:50
נושא ההודעה: די הסתבכתי עם iptables

שלום לכולם,

אני די חדש בכל הקשור ל iptables.

לאחרונה הגדרתי את iptables על פי המדריך הזה https://wiki.debian.org/iptables. (אני אכן על debian).

א כשאני מריץ את הפקודה iptables -L משהו נראה לי מוזר בתוצאה.

קודם כל, מבחינת פורטים, המערכת אמור לאפשר התקשרויות אך ורק של הפורט של ssh.

דווקא מה שמוזר הוא מה שמופיע בשורה שלאחר השורה העליונה של ה fail2ban:

קוד:
ACCEPT     all  --  anywhere             anywhere     

האם משמעות השורה הזאת שכל ההתקשרויות יאושרו? האם זה לא מרוקן מתוכן את כל ההגדרות האחרות?

להלן פירוט של כל ההגדרות. אודה על קבלת דעתכם כי די הלכתי לאיבוד.

קוד:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     all  --  anywhere             anywhere           
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere 
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
צפריראורח · ·
 

הודעה פורסם: 22/03/2016 - 14:05
נושא ההודעה:

הפלט של iptables -L די מבלבל. אני ממליץ על iptables-save כדרך להצגת רשימת החוקים הנוכחית.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
חתוללא בפורום כעת ת.הצטרפות: 03/11/2007 · הודעות: 1034 ·
 

הודעה פורסם: 22/03/2016 - 14:12
נושא ההודעה:

אכן, נראה שיש לך טעות. מאיפה הגיע הכלל הזה?
בנוסף, אני ממליץ להשתמש ב־drop במקום reject.
 
 צפיה בפרופיל המשתמש שלח הודעה פרטית ביקור באתר המפרסם  
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
barbosaאורח · ·
 

הודעה פורסם: 22/03/2016 - 14:14
נושא ההודעה:

צפריר :
הפלט של iptables -L די מבלבל. אני ממליץ על iptables-save כדרך להצגת רשימת החוקים הנוכחית.


אכן, הדברים נראים אחרת עם iptables-save.

אשמח בכל זאת לשמוע את דעתכם האם ההגדרות נראות תקינות (טרם נכנסתי להגדרות של fail2ban עצמו).

קוד:
# Generated by iptables-save v1.4.21 on Tue Mar 22 14:10:16 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Mar 22 14:10:16 2016
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/03/2016 - 14:32
7 נושא ההודעה:

קוד:
$ sudo apt-get install  firestarter
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 22/03/2016 - 19:21
נושא ההודעה:

barbosa :
צפריר :
הפלט של iptables -L די מבלבל. אני ממליץ על iptables-save כדרך להצגת רשימת החוקים הנוכחית.


אכן, הדברים נראים אחרת עם iptables-save.

אשמח בכל זאת לשמוע את דעתכם האם ההגדרות נראות תקינות (טרם נכנסתי להגדרות של fail2ban עצמו).

קוד:
# Generated by iptables-save v1.4.21 on Tue Mar 22 14:10:16 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Mar 22 14:10:16 2016


לא עדיף להתחיל מ /BAN ALL ולאשר דברים ספציפים ?
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
barbosaאורח · ·
 

הודעה פורסם: 23/03/2016 - 16:26
נושא ההודעה:

Anonymous :
barbosa :
צפריר :
הפלט של iptables -L די מבלבל. אני ממליץ על iptables-save כדרך להצגת רשימת החוקים הנוכחית.


אכן, הדברים נראים אחרת עם iptables-save.

אשמח בכל זאת לשמוע את דעתכם האם ההגדרות נראות תקינות (טרם נכנסתי להגדרות של fail2ban עצמו).

קוד:
# Generated by iptables-save v1.4.21 on Tue Mar 22 14:10:16 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Mar 22 14:10:16 2016


לא עדיף להתחיל מ /BAN ALL ולאשר דברים ספציפים ?


ייתכן. ממה שקראתי, יש שיגידו כך ויש שיגידו כך. בכל מקרה, שתי השיטות אמורות להביא לתוצאות דומות.
אני יודע שיש אולי דרכים קלים יותר לעשות זאת, אבל אני מעוניין להתמודד עם זה וללמוד את המנגנון הזה כמו שצריך. ולכן ביקשתי את עזרת הפורום, האם הדברים כפי שהם מוגדרים כרגע מאפשרים פעילות תקינה, נאותה, ובטוחה של iptables.

ואוסיף עוד שאלה ברשותכם:
האם יש טעם להשתמש ב fail2ban במידה והשירות הפעיל היחידי המוגדר הוא ssh, כאשר הכניסה היא דרך ה public keys ואפשרות הכניסה למערכת בעזרת סיסמה מבוטלת?

אודה על קבלת דעתם בעניין גם בעניין זה וגם בעניין הגדרות iptables שצירפתי.

ובתודה רבה מראש Very Happy
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
אורח · ·
 

הודעה פורסם: 23/03/2016 - 18:39
נושא ההודעה:

barbosa :
האם הדברים כפי שהם מוגדרים כרגע מאפשרים פעילות תקינה, נאותה, ובטוחה של iptables.
Very Happy


החוקים שלך אומרים :

אשר הכל פרט למה שנכשל ע"י failban. אתה מגן רק על SSH אבל חוץ מ SSH יש לך עוד דברים (הכל מ NTP ועד HTTP).

צד נכנס - אם תהיה התקפה על נגיד פורט 80 אתה לא מגן עליו.
צד יוצא - אם המחשב מתחיל מתחיל להתחבר לכל מני שרתים זבלה אתה מאשר.
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
barbosaאורח · ·
 

הודעה פורסם: 23/03/2016 - 19:09
נושא ההודעה:

Anonymous :
barbosa :
האם הדברים כפי שהם מוגדרים כרגע מאפשרים פעילות תקינה, נאותה, ובטוחה של iptables.
Very Happy


החוקים שלך אומרים :

אשר הכל פרט למה שנכשל ע"י failban. אתה מגן רק על SSH אבל חוץ מ SSH יש לך עוד דברים (הכל מ NTP ועד HTTP).

צד נכנס - אם תהיה התקפה על נגיד פורט 80 אתה לא מגן עליו.
צד יוצא - אם המחשב מתחיל מתחיל להתחבר לכל מני שרתים זבלה אתה מאשר.


קודם כל תודה רבה על התגובה.

אכן, fail2ban מוגדר להגן רק על ssh. שרת http כלל לא מותקן כך שהפורט 80 אינו אמור להיות רלבנטי כלל מהבחינה הזאת.

איך שאני מבטין את הדברים, כל התקשרות שמגיעה ל input תצטרך לעבור דרך שרשרת הכללים לפי סדרם. כך שכל התקשרות שאינה עונה על אחד מהכללים סופה להגיע לכלל הבא שבסוף ה input ושם היא כבר תיתקל בסירוב:



קוד:
-A INPUT -j REJECT --reject-with icmp-port-unreachable


כך שגם אם היה לי שרת http מותקן כלשהו, ההגדרות הנוכחיות היו אמורות לחסום את הגישה אליו כלל (כמובן שאז הדבר היה נחשב לתקלה והיה עליי להכניס כלל ספציפי שיאפשר התקשרויות נכנסות לשרת ה http ולהפעיל את הגנת ה fail2ban גם לגביו.)
כך לפחות אני מבין את הכללים המוגדרים כרגע Confused
 
   
תגובה  עם ציטוט חזרה למעלה
חזרה לתוכן הדיון
הצגת הודעות מלפני:     
מעבר אל:  
כל הזמנים הם GMT + 2 שעות
תגובה לנושא
צפיה בנושא הבא Printable version התחבר כדי לבדוק הודעות פרטיות צפיה בנושא הקודם
PNphpBB2 © 2003-2004 

תוכן הדיון

  1. אורח [barbosa]
  2. אורח [צפריר]
  3. חתול
  4. אורח [barbosa]
  5. אורח
  6. אורח
  7. אורח [barbosa]
  8. אורח
  9. אורח [barbosa]