LINUX.ORG.RU

Сообщения shurc

 

Странные запросы от Гугла в журнале доступа

Приветствую! Вижу в логах доступа вот такие записи, и их много! https://prnt.sc/LF5JSCFIxmzH

Вот пару полных записей для примера.

66.249.66.87 - - [30/Nov/2022:03:24:14 +0100] «GET /51736qtti9d12mqaa77b HTTP/1.0» 200 62452 «-» «Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.110 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html

66.249.66.87 - - [30/Nov/2022:03:24:15 +0100] «GET /55835apqy24d06e6fdy5b079a2a HTTP/1.0» 200 47337 «-» «Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.110 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html

Т.е. Гугл запрашивает несуществующие страницы

«GET /51736qtti9d12mqaa77b HTTP/1.0» 200 62452….. «GET /55835apqy24d06e6fdy5b079a2a HTTP/1.0» 20….. «GET /59947apqy99b37fhy2ada84 HTTP/1.0» 200 47…..

Вопрос:

  1. Что это такое? Почему гугл ломится на несуществующие страницы и откуда он их взял?

  2. Почему сервер возвращает ответ 200? Ведь страница не существует. Когда я пытаюсь на нее зайти, то мне сервер возвращает 404.

https://prnt.sc/O33Zt_mI9WJR

 , ,

shurc
()

iptables: как выявить на какой хост идет трафик?

Доброго времени суток, уважаемые форумчане. Исходные данные:

  • Роутер DIR300
  • прошивка: Firmware: DD-WRT v24-sp2
  • подключен к интернет и имеет постоянный внешний IP

Вопрос: можно ли с помощью правил в iptables как-то определить на какой хост (IP) идет трафик, если он

превышает определенное значение?

Ну например, если трафик на какой-то хост более 1Мб/сек, то сделать запись в лог (чтобы в логе можно было

увидеть, на какой IP этот трафик идет). Разумеется количество записей в лог можно ограничить, чтобы не

засорять. Хотя даже можно не байты считать, а количество пакетов в сек - и этого будет достаточно.

Насколько я понимаю, надо:

  • все пакеты с состоянием ESTABLISHED,RELATED как-то разделять: на каждый IP - своя метка
  • потом подсчитывать по каждой метке колич. пакетов за определенной время
  • потом уже записать в лог информацию кто и откуда льет трафик

Но как это реализовать с помощью правил не знаю. Может, кто что подскажет? Буду благодарен :)

p.s. Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие другие варианты возможны?

 , , ,

shurc
()

DIR 300 как обезопасить себя от взлома из-вне?

Доброго времени суток, уважаемые форумчане.

Исходные данные:

  • Роутер DIR300
  • прошивка: Firmware: DD-WRT v24-sp2 (03/25/13) std
  • подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204
  • на нем запущен VPN server PPTP

В логах постоянно наблюдаю желающих «зайти в гости» по VPN. Поскольку все, что можно запретил в настройках Firewall (ssh, ping request, telnet, remote web control и т.д.), то остался только этот вариант )) Запросы не частые, и не то, чтобы уж их было сильно много, но запросов 10-15 в день имеется. Ниже привожу выдержку из журнала.

Так вот собственно вопросы:

  1. Какова вероятность того, что эти незваные гости рано или поздно все-таки смогут войти, хоть их никто и не приглашал?
  2. Как можно себя обезопасить еще больше? Какие методы фильтрации этих самых нежелательных запросов можно применить? Или тех настроек, что я уже сделал в фаерволе вполне достаточно?

Удаленный доступ к роутеру мне нужен по любому, так что отключать VPN - значит переходить на веб-морду - а это, наверное, еще менее надежно. Администрировать роутер тоже приходится с разных IP, так что привязки по этому параметру тоже не получится сделать.

Скрин настроек Firewall + VPN Server https://ibb.co/DDXBYkT

Jan 1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 18245 outside (0 - 220) Jan 1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 5635 outside (0 - 220)

Jan 1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection started Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: couldn’t read packet header (exit) Jan 1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: CTRL read failed Jan 1 19:44:28 DD-WRT daemon.debug pptpd[13445]: CTRL: Reaping child PPP[0] Jan 1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection finished

Jan 1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection started Jan 1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Starting call (launching pppd, opening GRE) Jan 1 21:51:53 DD-WRT daemon.notice pppd[14609]: pppd 2.4.5 started by root, uid 0 Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: couldn’t read packet header (exit) Jan 1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: CTRL read failed Jan 1 21:51:57 DD-WRT daemon.debug pptpd[14608]: CTRL: Reaping child PPP[14609] Jan 1 21:51:57 DD-WRT daemon.info pppd[14609]: Exit. Jan 1 21:51:57 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection finished

Jan 1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection started Jan 1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Starting call (launching pppd, opening GRE) Jan 1 21:51:57 DD-WRT daemon.notice pppd[14612]: pppd 2.4.5 started by root, uid 0 Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: EOF or bad error reading ctrl packet length. Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: couldn’t read packet header (exit) Jan 1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: CTRL read failed Jan 1 21:52:09 DD-WRT daemon.debug pptpd[14611]: CTRL: Reaping child PPP[14612] Jan 1 21:52:09 DD-WRT daemon.info pppd[14612]: Exit. Jan 1 21:52:09 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection finished

 , , , ,

shurc
()

ПОМОГИТЕ: IPTABLES фильтрация пакетов по IP и/или порту

Всем доброго времени суток!

Исходные данные:

  • Роутер DIR300 с установленной mini-linux dd-wrt на борту, в качестве брандмауреа используются iptables
  • роутер подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204 через WAN порт (интерфейс в таблицах: vlan2)
  • на роутере настроен проброс портов на локальный адрес […tcp dpt:44789 to:192.168.0.10:44789]
  • к роутеру подключен DVR с камерами наблюдения (через ethernet-кабель), DVR имеет постоянный внутрисетевой IP: 192.168.0.10, доступ к камерам осуществляется через порт 44789
  • вот на этом роутере я хочу фильтровать пакеты, которые поступают на порт 44789 с внешней сети

Задачи:

  1. записать в журнал когда и с какого IP были попытки доступа на соответствующий порт 44789
  2. чтобы не засорять журнла, нужно записывать не более 5 значений за 5 минут
  3. отфильтровать пакеты. Т.е. с некоторых IP - разрешить доступ на этот порт, а с некоторых - запретить, а остальные просто наблюдать и записывать в журнал

Проблема:

  1. не могу записать в журнал данные о входящих пакетах на соответствующий порт, т.к. не вижу их в таблице FILTER
  2. не могу отфильтровать пакеты по IP адресу, т.к. не вижу их в таблице FILTER

ПРИМЕЧАНИЯ:

  • все работает отлично - доступ к камерам имеется, захожу с любого внешнего IP и могу достучаться к DVR на порт 44789 без проблем, нареканий нет
  • не могу понять на каком этапе и в какой таблице фильтруются пакеты, идущие на этот порт 44789
  • в таблице FILTER->FORWARD есть какие-то пакеты (видно на скрине), но это не совсем то, т.к., когда я подключаюсь к камерам наблюдения, то трафик на самом деле 0,5Мб/сек, а в журнале FORWARD записалось каких-то 300 байт и на этом все
  • но, включая системный журнал на своем роутере на вкладке Security->Firewall->Log Management я спокойно вижу как эти все пакеты проходят и идут по назначению, а вот как их мне перехватить (в каком месте, какой командой) я не знаю

Доп. информация

  • прилагаю текстовый вариант журнала (Security->Firewall->Log Management)
  • прилагаю скрин настроек фаервола
  • прилагаю скрин записи с iptables -t nat
  • прилагаю скрин записи с iptables -t filter https://ibb.co/pfPQgL3 https://ibb.co/vHRmt10 https://ibb.co/k6CCYj7

Dec 31 19:43:22 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=46808 DF PROTO=TCP SPT=26573 DPT=44789 SEQ=325854005 ACK=0 WINDOW=12330 RES Dec 31 19:44:35 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=14803 DF PROTO=TCP SPT=26608 DPT=44789 SEQ=2304214882 ACK=0 WINDOW=12330 RE Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=5039 DF PROTO=TCP SPT=26392 DPT=44789 SEQ=2309467354 ACK=0 WINDOW=12330 RES Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=28136 DF PROTO=TCP SPT=26540 DPT=44789 SEQ=113758866 ACK=0 WINDOW=12330 RES Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=38542 DF PROTO=TCP SPT=26532 DPT=44789 SEQ=3616876810 ACK=0 WINDOW=12330 RE Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=35479 DF PROTO=TCP SPT=26584 DPT=44789 SEQ=3456775451 ACK=0 WINDOW=12330 RE

 , , , ,

shurc
()

RSS подписка на новые темы