iptables обработка дропов

iptables

0

1

Уважаемые!

Видимо, 22 порт самый востребованный для взлома.

Поставил в дроп row сеть, вижу по tcpdump, что пакеты от забаненной сети идут.

Как посмотреть где в системе эти пакеты дропаются?

Плз подскажите, примерно сколько максимально дропов может обрабатываться в секунду?

Чтобы это совсем не попадало на сервер, надо перед серваком ставить файрвол?

Ссылка

←	Максимальное количество сетевых дисков?

Простой роутер

→

Ставь сразу после источника, хуже не будет.

iptables -t raw -L -nxv

Anoxemian ★★★★★
(11.08.24 17:03:14 MSK)

Ответ на: комментарий от Anoxemian 11.08.24 17:03:14 MSK

спасибо! дропы вижу.

однако вот это в дропах нигде не фиксируется:

17:36:48.989792 IP 45.78.5.54.35733 > 217.197.116.116.22: Flags [S], seq 1289700496, win 64240, options [mss 1460,sackOK,TS val 3795210417 ecr 0,nop,wscale 7], length 0

17:36:48.989792 IP 45.78.5.215.38957 > 217.197.116.116.22: Flags [S], seq 3457447031, win 64240, options [mss 1460,sackOK,TS val 2923299174 ecr 0,nop,wscale 7], length 0

17:36:48.989914 IP 104.255.69.211.42709 > 217.197.116.116.22: Flags [S], seq 3075868593, win 64240, options [mss 1460,sackOK,TS val 1900969634 ecr 0,nop,wscale 7], length 0

17:36:48.989982 IP 45.78.4.253.39759 > 217.197.116.116.22: Flags [S], seq 1241988941, win 64240, options [mss 1460,sackOK,TS val 3013176972 ecr 0,nop,wscale 7], length 0

17:36:48.989982 IP 45.62.123.136.33167 > 217.197.116.116.22: Flags [S], seq 2262457894, win 64240, options [mss 1460,sackOK,TS val 1163835880 ecr 0,nop,wscale 7], length 0

AlexZander
(11.08.24 17:38:33 MSK) автор топика
Последнее исправление: AlexZander 11.08.24 17:40:44 MSK (всего исправлений: 2)

Ответ на: комментарий от AlexZander 11.08.24 17:38:33 MSK

ECR - echo reply, ты покажи чего заблокировал

Anoxemian ★★★★★
(11.08.24 17:54:36 MSK)

Ответ на: комментарий от Anoxemian 11.08.24 17:54:36 MSK

root@ftpserver:~# iptables -t raw -L -nxv
Chain PREROUTING (policy ACCEPT 3713 packets, 496916 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       0        0 DROP       all  --  *      *       185.239.70.0/23      0.0.0.0/0           
       0        0 DROP       all  --  *      *       45.62.0.0/16         0.0.0.0/0           
       0        0 DROP       all  --  *      *       45.78.0.0/16         0.0.0.0/0           
       0        0 DROP       all  --  *      *       66.132.216.0/21      0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.204.0.0/15       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.192.0.0/13       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.200.0.0/14       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.128.0.0/10       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.206.0.0/16       0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 1662 packets, 1709448 bytes)
    pkts      bytes target     prot opt in     out     source               destination

AlexZander
(11.08.24 18:20:55 MSK) автор топика

Ответ на: комментарий от AlexZander 11.08.24 18:20:55 MSK

Ну, все норм. Условия совпадают, пакеты дропаются. Что именно не нравится?

Anoxemian ★★★★★
(11.08.24 18:43:39 MSK)

Ответ на: комментарий от Anoxemian 11.08.24 18:43:39 MSK

вот это вот 45.78.5.215.38957 > 217.197.116.116.22

каждые 2-3 секунды лезет или это нормально?

в дропе не отражается, либо до raw не доходит, либо что-то еще?

AlexZander
(11.08.24 19:38:59 MSK) автор топика
Последнее исправление: AlexZander 11.08.24 19:40:58 MSK (всего исправлений: 3)

Ответ на: комментарий от AlexZander 11.08.24 19:38:59 MSK

а, ну так tcpdump ловит весь трафик до входа в подсистему netfilter. Все норм.

Anoxemian ★★★★★
(11.08.24 19:45:00 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 11.08.24 18:43:39 MSK

Условия совпадают, пакеты дропаются.

условий не видно (нужен ключ -v), дропов тоже (счетчики pkts, bytes у правил по нулям) :)

router ★★★★★
(12.08.24 14:52:30 MSK)

Ссылка

Видимо, 22 порт самый востребованный для взлома.

Так а зачем ты его используешь? Перевесь повыше на нестандартрный, ботов будет меньше на порядки

Поставил в дроп row сеть

Надеюсь, через fail2ban?

router ★★★★★
(12.08.24 14:53:38 MSK)

Ответ на: комментарий от router 12.08.24 14:53:38 MSK

Ну и не забудь, что утилита iptables сейчас оставлена только для совместимости и не всегда покажет реальную ситуацию. Давно пора перейти на nft (nftables)

router ★★★★★
(12.08.24 14:56:59 MSK)

Ссылка

Плз подскажите, примерно сколько максимально дропов может обрабатываться

Сотни тысяч и миллионы. Просто создай отдельный чейн в который добавь дропы по IP и сделай первым правилом -j ssh-check -p tcp —dport 22 в чейне INPUT

no-dashi-v2 ★★★
(12.08.24 20:08:06 MSK)

Ссылка

Для того чтобы оставить комментарий войдите или зарегистрируйтесь.

←	Максимальное количество сетевых дисков?

Admin

Простой роутер

→

Похожие темы