Страница 1 из 3
правила для ipfw
Добавлено: 20 июл 2012, 18:02
solodorik
Доброго всем дня! Подскажите пожалуйста правила для ipfw от брутфорса.
sshguard, fail2ban, bruteblock и другие подобные утилиты не подходят, слишком долго работают.
Скрипт лучше, но правило работает быстрее.
Защиты портов уже используется.
Re: правила для ipfw
Добавлено: 21 июл 2012, 21:24
Raven
Насколько я помню, через голый ipfw это вряд-ли возможно без использования сторонних утилит. Как вариант могу посоветовать
1. - Покурить в сторону pf - помнится где-то натыкался на статейку.
2. - Душить скриптом по крону
Re: правила для ipfw
Добавлено: 23 июл 2012, 13:18
solodorik
дело в том, что ставить на серваке 2-ой фаервол не совсем разумно )
UP
Re: правила для ipfw
Добавлено: 23 июл 2012, 20:16
Infernal Flame
solodorik
а заюзать альтернативный порт + запрет на логин рута по ссх не решат половину проблем?
Re: правила для ipfw
Добавлено: 26 июл 2012, 19:22
solodorik
юзать правила мне нужно для веб сервака, мне нужно блокировать не только 22 порт но ftp,smtp,http, и других портах. неподкасжешь как из заблокировать ?
Re: правила для ipfw
Добавлено: 26 июл 2012, 22:23
Infernal Flame
solodorik
простой способ: блокировать все, потом разрешать необходимое. При возможности только с определенных адресов (касается ссх)
Re: правила для ipfw
Добавлено: 12 окт 2012, 09:25
Phantom
Хм. Через IPTables эта задача решается на раз два(хотя одним только фаирволом с брутом не воюют). Неужели ipfw настолько убогий?
Код: Выделить всё
#!/bin/bash
IPT=/sbin/iptables
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}
ТУТ РАЗРЕШИТЬ ПРОХОЖДЕНИЕ ПО 80 ПОРТУ!!!
Вот у меня подобная памятка лежит. Сколько пакетов со статусом NEW разрешено в определенный интервал времени.
Re: правила для ipfw
Добавлено: 12 окт 2012, 10:21
Raven
Phantom писал(а):Неужели ipfw настолько убогий?
Нет, просто везде есть свои + и минусы. Что касаемо вашей памятки - количество соединений с адреса на единицу времени устанавливать можно и в IPFW как 2 пальца. Просто он не будет дропать полностью если кто-то это значение превысил, он просто подрежет лишнее. А по поводу убогости - холивар батенька! Попробуйте-ка в iptables зарезать скорость без использования внешнего шейпера.
Re: правила для ipfw
Добавлено: 12 окт 2012, 10:32
Phantom
Не подрезает, а именно дропает. Дропает все что вышло за границы указанного ограничения.
Далее.
Ограничение скорости? Видели и такое. В общем и целом у человека работает.
Код: Выделить всё
/sbin/iptables -N bad_adress
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -m limit --limit 2/second --limit-burst 2 -j ACCEPT
/sbin/iptables -A bad_adress -p TCP -i $INET_IFACE -s 192.168.2.43 --dport 80 -j DROP
Сам подобное не использую ибо delay pools. Идеологически конечно не верно, но на ваш вопрос думаю это ответ.
И все это искаропки.
А для большего надо сюда...правдо это уже от скуки скорее всего.
Но вкусного много.
http://www.netfilter.org/
Re: правила для ipfw
Добавлено: 12 окт 2012, 10:43
Raven
Phantom
Тем самым вы ограничиваете количество
пакетов в секунду, а не
обьем информации. Пакеты могут быть разного размера, так что этот метод можно использовать максимум при очень жестком ограничении. В данном примере - это порядка до 5-7 кБ/сек. Когда нужна гибкость в шейпинге на Linux - приходится волей-неволей юзать
tc и ей подобный софт. В IPFW все гораздо проще и тривиальнее - dummynet весьма мощная вещь.
В отличии от Linux, BSD-системы предоставляют больше простора для работы в качестве фаервола. Взять к примеру pf от OpenBSD - на сегодняшний день это самый легкий и быстрый фаервол для *nix. Портирован во FreeBSD, в которой помимо штатного ее фаервола ipfw имееется также и ipf (NetBSD) - 3 фаервола на 1 операционке, причем все 3 в чем-то "дают курнуть" нетфильтру. А еще, они могут работать параллельно, дополняя друг друга - тогда вообще творятся чудеса.
UPD:
В общем и целом у человека работает.
Хорошо гуглим, да? Я поэкспериментировал:
Смотрим первый линк
Ну раз уж вам скучно, то милости просим почитать также и
этот хендбук... и
этот... и
этот - мировоззрение надо расширять за пределы убунты))