LINUX.ORG.RU
ФорумAdmin

iptables+защита от скана и брутофорса+апдейты в bitrix


0

2

bitrix не коннектится на сервер обновлений http://www.bitrixsoft.com (Нет соединения с сервером обновлений (Connection timed out))

tcpdump | grep bitrix

14:06:59.414682 IP 46.173.32.106.33299 > ns.gorcom.ru.domain: 1388+ AAAA? www.bitrixsoft.com. (36)

14:06:59.415280 IP 46.173.32.106.44357 > ns.gorcom.ru.domain: 4593+ A? www.bitrixsoft.com. (36)

расшариваю инет на 2 сетевуху 

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
защита от брутафорса ftp и ssh

iptables -A INPUT -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --set --name SSH --rsource
iptables -A INPUT -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name SSH --rsource -j DROP
iptables -A INPUT -p tcp -m tcp --dport 2121 -m state --state NEW -m recent --set --name FTP --rsource
iptables -A INPUT -p tcp -m tcp --dport 2121 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --rttl --name FTP --rsource -j DROP

блокируем скан портов 

iptables -A INPUT -p all -i lo -j ACCEPT
iptables -A OUTPUT -p all -o lo -j ACCEPT
iptables -A INPUT -m recent --rcheck --seconds 180 --name FUCKOFF -j DROP
iptables -A INPUT -p tcp -m multiport ! --dports 2222,2121,80,65000,65001 -m recent --set --name FUCKOFF -j DROP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
при выключении строчки 
iptables -A INPUT -p tcp -m multiport ! --dports 2222,2121,80,65000,65001 -m recent --set --name FUCKOFF -j DROP
всё работает

Доступ на сервер с динамическим IP.
Раздать два реальных адреса

ты неправильно tcpdump сделал. Тебе надо снять трафик что идёт в сторону битриксовых серверов.

Я подозреваю что multiport матчит локальный tcp-порт и сервера битрикса попадают в бан.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

как в таком случае multiport-у разрешить локальные ip? для ftp разрешил 65000 и 65001 +2121(ftp)

oskar0609
() автор топика
Ответ на: комментарий от oskar0609

это и есть обращения к серваку битрикса как я понимаю.

это всего лишь резолвинг ДНС.

как в таком случае multiport-у разрешить локальные ip?

У меня вот так когда-то было сделано. Обрати внимание на --syn в правилах:

iptables -A INPUT -m set --match-set BASTARDS src -j DROP
iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED  -j ACCEPT

iptables -A INPUT -p tcp --syn --dport 22    -m recent --rcheck --name SSH --rsource -j ACCEPT
iptables -A INPUT -p tcp --syn --dport 25999 -m recent --set    --name SSH -j REJECT
iptables -A INPUT -p tcp --syn --dport 26000 -m recent --remove --name SSH -j DROP

iptables -I OUTPUT -m set --match-set BASTARDS dst -j REJECT
true_admin ★★★★★
()
Ответ на: комментарий от oskar0609

Тебе надо проверять только установку соединения. Уже установленные соединения можно смело пропускать в 99% случаев:

iptables -A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Теперь как проверять соединение:

Смотришь первый пакет. Если он тебя устраивает то делаешь -j ACCEPT и дальше остальное происходит автоматом. Второй раз пакеты этого соединения через эти правила проходить не будут. Если не устраивает пакет то -j DROP. Всё просто. Главное чтобы было то правило что я выше написал.

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

инет то пашет, апдейты не пашут. предпологаю что он не может открыть локальный порт и принять\отправить туда пакеты кроме тех что в ultiport ! --dports 2222,2121,80,65000,65001 как быть с моим конфигом и заставить его работать не ограничивая правила того что мне нужно?

oskar0609
() автор топика
Ответ на: комментарий от true_admin

что-то сам, что-то где-то увидел. скорее всего завтра твоим конфигом займусь

oskar0609
() автор топика

Это кто так tcpdump'ом учил пользоваться?

anton_jugatsu ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Доступ на сервер с динамическим IP.
Admin
Раздать два реальных адреса