LINUX.ORG.RU
ФорумAdmin

iptables обработка дропов

 


0

1

Уважаемые!

Видимо, 22 порт самый востребованный для взлома.

Поставил в дроп row сеть, вижу по tcpdump, что пакеты от забаненной сети идут.

Как посмотреть где в системе эти пакеты дропаются?

Плз подскажите, примерно сколько максимально дропов может обрабатываться в секунду?

Чтобы это совсем не попадало на сервер, надо перед серваком ставить файрвол?



Последнее исправление: AlexZander (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

спасибо! дропы вижу.

однако вот это в дропах нигде не фиксируется:

`

17:36:48.989792 IP 45.78.5.54.35733 > 217.197.116.116.22: Flags [S], seq 1289700496, win 64240, options [mss 1460,sackOK,TS val 3795210417 ecr 0,nop,wscale 7], length 0

17:36:48.989792 IP 45.78.5.215.38957 > 217.197.116.116.22: Flags [S], seq 3457447031, win 64240, options [mss 1460,sackOK,TS val 2923299174 ecr 0,nop,wscale 7], length 0

17:36:48.989914 IP 104.255.69.211.42709 > 217.197.116.116.22: Flags [S], seq 3075868593, win 64240, options [mss 1460,sackOK,TS val 1900969634 ecr 0,nop,wscale 7], length 0

17:36:48.989982 IP 45.78.4.253.39759 > 217.197.116.116.22: Flags [S], seq 1241988941, win 64240, options [mss 1460,sackOK,TS val 3013176972 ecr 0,nop,wscale 7], length 0

17:36:48.989982 IP 45.62.123.136.33167 > 217.197.116.116.22: Flags [S], seq 2262457894, win 64240, options [mss 1460,sackOK,TS val 1163835880 ecr 0,nop,wscale 7], length 0

`

AlexZander
() автор топика
Последнее исправление: AlexZander (всего исправлений: 2)
Ответ на: комментарий от Anoxemian
root@ftpserver:~# iptables -t raw -L -nxv
Chain PREROUTING (policy ACCEPT 3713 packets, 496916 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       0        0 DROP       all  --  *      *       185.239.70.0/23      0.0.0.0/0           
       0        0 DROP       all  --  *      *       45.62.0.0/16         0.0.0.0/0           
       0        0 DROP       all  --  *      *       45.78.0.0/16         0.0.0.0/0           
       0        0 DROP       all  --  *      *       66.132.216.0/21      0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.204.0.0/15       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.192.0.0/13       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.200.0.0/14       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.128.0.0/10       0.0.0.0/0           
       0        0 DROP       all  --  *      *       171.206.0.0/16       0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 1662 packets, 1709448 bytes)
    pkts      bytes target     prot opt in     out     source               destination 
AlexZander
() автор топика
Ответ на: комментарий от Anoxemian

вот это вот 45.78.5.215.38957 > 217.197.116.116.22

каждые 2-3 секунды лезет или это нормально?

в дропе не отражается, либо до raw не доходит, либо что-то еще?

AlexZander
() автор топика
Последнее исправление: AlexZander (всего исправлений: 3)

Видимо, 22 порт самый востребованный для взлома.

Так а зачем ты его используешь? Перевесь повыше на нестандартрный, ботов будет меньше на порядки

Поставил в дроп row сеть

Надеюсь, через fail2ban?

router ★★★★★
()
Ответ на: комментарий от router

Ну и не забудь, что утилита iptables сейчас оставлена только для совместимости и не всегда покажет реальную ситуацию. Давно пора перейти на nft (nftables)

router ★★★★★
()

Плз подскажите, примерно сколько максимально дропов может обрабатываться

Сотни тысяч и миллионы. Просто создай отдельный чейн в который добавь дропы по IP и сделай первым правилом -j ssh-check -p tcp —dport 22 в чейне INPUT

no-dashi-v2 ★★★
()