правила для ipfw

[Phantom]

Хорошо гуглим, да? Я поэкспериментировал:
Смотрим первый линк

Ну раз уж вам скучно, то милости просим почитать также и этот хендбук... и этот... и этот - мировоззрение надо расширять за пределы убунты))

Да. Гуглить умею. Я же указал, что подобное не использую. Далее.

Попробуйте-ка в iptables зарезать скорость без использования внешнего шейпера.

Пакеты могут быть разного размера, так что этот метод можно использовать максимум при очень жестком ограничении. В данном примере - это порядка до 5-7 кБ/сек.

Скорость ограничена. Про гибкость и прочее я что то не увидел в вопросе.
А по поводу хендбуков это у меня уже есть, но спасибо что напомнили.

- мировоззрение надо расширять за пределы убунты))

IPtables используется только в убунту? К чему это вообще?
З.Ы Почему в общем тривиальные вопросы приводят к холиварсам? Хоть ничего вообще не говори.

[Raven]

IPtables используется только в убунту? К чему это вообще?

Просто ipfw, pf не мое. Для этого надо работать с bsd системами.

Как там говорили в старину? Не зная броду...

[Raven]

З.Ы Почему в общем тривиальные вопросы приводят к холиварсам? Хоть ничего вообще не говори.

Поэтому мы и молчаливы

[Phantom]

Вот именно не зная броду......потому и спросил.

Хм. Через IPTables эта задача решается на раз два(хотя одним только фаирволом с брутом не воюют). Неужели ipfw настолько убогий?

Потом вопрос перетек в ограничение скорости, хотя с брутфорсом это весьма косвенно связано...там основной фактор все таки количество подключений в секунду. (Неосторожный брутфорс может перерасти в DDoS ).
Причем эта модель одна из тех которые у меня работают(и хорошо работает.) Ну так мне не знающему брода как бы и не с руки писать подобное в ipfw(хотя наверное стоит попробовать). Странно, что знатоки подобной системы защиты не вывалили человеку подобную модель. Вопрос ведь у solodorik`а был как сделать, а не куда пойти и посмотреть.
Что касается iptables & ubuntu. Не понятно. А как насчет debian& iptables || slackware & iptables || redhat & iptables || CentOS & iptables.... ну и так далее. ? Или это тоже по мнению сообщества недолинуксы и одно freebsd рулит... Эх.....не....это опять холиварс будет...... Чего не скажешь про ipfw.... Не...всё...баста.

[Gen1us2k]

ipfw торт. iptables торт, ipf торт, pf торт.

[ComBin]

Господа извеняюсь за откапывание стюардессы, но хотелось бы поднять тему.
И так может кто-нибудь все-таки подсказать как сделать на ipfw такое:

Код: Выделить всё

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP 
iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

Собственно суть проблемы вот в чем. Есть VPN-сервер на mpd5. Нужно сделать ему защиту от брутфорса но он зараза пищит логи так что fail2ban и ему подобные не могут оттуда адрес хоста выдернуть. Костыли городить не охота. А сделать вот так же как в примере выше было бы почти идеальным вариантом. Выкинуть ipfw не предлагать, прибит гвоздями.

[Raven]

К сожалению ipfw вряд-ли можно заюзать для эффективной защиты от брутфорса средствами одного лишь фаервола. Тут обычно приходится всякие костыли городить. Хотя я бы посмотрел в сторону pf. То есть как вариант - запустить разом 2 фаера, в ipfw по порту mpd5 все allow

Код: Выделить всё

add allow tcp from any to me 1723 in via ${ext_if}
add allow tcp from me 1723 to any out via ${ext_if}
add allow gre from me to any out via ${ext_if}
add allow gre from any to me in  via ${ext_if}

а в pf реализовал бы что-то типа

Код: Выделить всё

table <bruteforcers> persist
block in quick from <bruteforcers>
pass in on $ext_if inet proto tcp to $ext_if port 1723 flags S/SA keep state (max-src-conn-rate 60/2, \ overload <bruteforcers> flush)

[ComBin]

Хех. А есть вообще опты использования ipfw и pf одновременно? Как они уживаются, есть ли какие-то несостыквки?

[Raven]

Ну мне лично так извращаться не приходилось, но я слыхивал о успешном опыте некоторых. В манах у лисяры есть примеры использования 2 вместе правда там задача несколько иная - один выступает фаером, другой шейпером. Но уживаться они уживаются.

В предложеном мной варианте логика проста - первый фаер вообще все разрешает, а второй либо перед ним либо за ним фильтрует тот же порт.

[ComBin]

Ура, в топку хоровод из фаерволов нашел как заставить freeradius (а у меня mpd через него аутентификацию получает) писать в логи IP-адрес клиента. Потом прикручу к этому fail2ban и дай бог чтобы ресурсов хватило парсить все эти логи. :D Опять же не совсем тема топика но если у кого-то вдруг цепочка поисков сложится так же как у меня... В общем я просто оставлю это здесь.
radiusd.conf

Код: Выделить всё

...
log {
        destination = files
        file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = no
        auth = yes
        auth_badpass = yes
        auth_goodpass = no
        msg_badpass = "Host %{Tunnel-Client-Endpoint}"
}
...

http://wiki.freeradius.org/config/Logging
http://wiki.freeradius.org/config/Run%2 ... 0variables

P.S. Raven, спасибо за консультацию. Приятно было общаться.