Загадочное поведение правил iptables

0

1

Задача защитить SSH от брутфорса. Перевесил на другой порт 2255. Теперь еще нужно банить на 20 секунд после неправильного ввода пароля. Нашел вот такие правила, вроде должны работать.

 
iptables -A INPUT -p tcp -m state --state NEW --dport 2255 -m recent --update --seconds 20 -j DROP
iptables -A INPUT -p tcp -m state --state NEW --dport 2255 -m recent --set -j ACCEPT

Начал пробовать сам ломиться в SSH с неправильными паролями. И как-то непонятно эти правила отрабатывают. То он продолжает не пускать меня через 25 секунд после разрыва последнего соединения. То наоборот позволяет устанавливать новые соединения сколько хочешь раз подряд. Захожу с правильным паролем, делаю iptables -L -n - вроде все на месте:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:2255 recent: UPDATE seconds: 20 name: DEFAULT side: source
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:2255 recent: SET name: DEFAULT side: source

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

В чем может быть проблема?

Ссылка

←	Помогите совладать с sh. Если подставить переменную даёт другие результаты нежели эти же значения в строке.

Разрешить отправку postfix-у только с определенного IP адреса (debian)

→

Возьми уже fail2ban.

Как твои правила iptables определят, корректно ли ты пароль ввел или нет? Тем более у тебя в конфиге сразу написано и запреь, и разрешение, по какой логике (кроме «по порядку») iptables может применять эти правила?

alozovskoy ★★★★★
(26.01.15 07:13:41 MSK)
Последнее исправление: alozovskoy 26.01.15 07:17:13 MSK (всего исправлений: 1)

iptables -A INPUT -p tcp -m state --state NEW --dport 2255 -m recent --update --seconds 20 -j DROP
iptables -A INPUT -p tcp -m state --state NEW --dport 2255 -m recent --set -j ACCEPT

какое поведение ты ожидаешь от этих строк ?

dada ★★★★★
(26.01.15 08:34:30 MSK)

Ответ на: комментарий от dada 26.01.15 08:34:30 MSK

Полагаю, после каждого соединения новое соединение можно установить только через 20 секунд с этого ip, иначе DROP и снова запускается 20 секунд.

А какое на самом деле здесь поведение?

iamroman
(26.01.15 10:21:41 MSK) автор топика

Ответ на: комментарий от iamroman 26.01.15 10:21:41 MSK

А если телнетом устанавливать соединение? Как?

turtle_bazon ★★★★★
(26.01.15 10:45:35 MSK)

Ссылка

Это ведь не все правила?

af5 ★★★★★
(26.01.15 10:57:13 MSK)

Ответ на: комментарий от alozovskoy 26.01.15 07:13:41 MSK

Возьми уже fail2ban.

Инкрементирую.

MrClon ★★★★★
(26.01.15 11:10:19 MSK)

Ссылка

iptables ничего не знает про протокол SSH - он НЕ может сказать ввёл ты пароль правильно или нет.

fail2ban уже посоветовали

Pinkbyte ★★★★★
(26.01.15 12:49:01 MSK)

Укажи в первом правиле --hitcount явно.

NightSpamer ★
(26.01.15 12:49:30 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 26.01.15 12:49:01 MSK

НЕ может сказать ввёл ты пароль правильно или нет

Да ещё и не даст быстро открыть несколько соединений даже с правильным паролем.

NightSpamer ★
(26.01.15 12:53:45 MSK)

Ссылка

Ответ на: комментарий от af5 26.01.15 10:57:13 MSK

Это все правила, я показал вывод iptables -L -n А какие еще нужны?

iamroman
(26.01.15 16:24:51 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 26.01.15 12:49:01 MSK

Я рассматривал этот вариант. Но решил попробовать реализовать это с iptables, потому что сервер и так слабенький, а fail2ban парсингом логов будет создавать лишнюю нагрузку. Или это экономия на спичках?

iamroman
(26.01.15 16:30:21 MSK) автор топика

Ответ на: комментарий от iamroman 26.01.15 16:30:21 MSK

Это не экономия на спичках. То, чего хочешь ты НЕВОЗМОЖНО реализовать с использованием одного лишь критерия recent

Pinkbyte ★★★★★
(26.01.15 17:03:50 MSK)

Ответ на: комментарий от Pinkbyte 26.01.15 17:03:50 MSK

Понятно, что iptables не знает, правильно я ввел пароль или нет. Но просто запрет установки нового соединения по SSH чаще, чем через 20 секунд после предыдущего, должен отсекать перебор паролей. Он может чему-то мешать в обычной работе, но в каких случаях?

Да и все равно, эти правила почему-то отрабатывают не так, как ожидается.

iamroman
(26.01.15 17:14:38 MSK) автор топика

Ссылка

Похоже, загвоздка была в том, что во время тестирования я после еще одного подключения, когда сервер делал DROP и в баше ничего не происходило, я жал Ctrl + Z, что приостанавливало соединение, а надо было Ctrl + C, что закрывало бы его. Поэтому видимо глючил таймер, хотя я не понял до конца почему... Видимо когда я после приостановки снова подключался, то он просто восстанавливал приостановленное подключение.

В общем, косяк был не в правилах, а в моем методе их тестирования.

iamroman
(27.01.15 00:06:02 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите совладать с sh. Если подставить переменную даёт другие результаты нежели эти же значения в строке.

Admin

Разрешить отправку postfix-у только с определенного IP адреса (debian)

→

Похожие темы