miflex Napisano Kwiecień 25, 2009 Zgłoszenie Share Napisano Kwiecień 25, 2009 (edytowane) hey, Mam problem z ssh i telnetem. W mojej sieci jest 4 uzytkownikow ktorzy nagminnie loguja sie na moj serwer. Za pomocą iptables wpisalem następujące reguly: iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 22 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 22 -j DROP iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 23 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 23 -j DROP iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 1000:1024 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 1000:1024 -j DROP iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 1027:1028 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 1027:1028 -j DROP iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 1032:5899 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 1032:5899 -j DROP iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 5901:38291 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 5901:38291 -j DROP iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 38293:49151 -j DROP iptables -I FORWARD -s 192.168.1.10 -p udp --dport 38293:49151 -j DROP Problem z tym, że mimo tego, że są zablokowane porty ssh i telnet to użytkownicy nadal się logują przez ssh. Czy gdzieś popełniłem błąd? Pomóżcie Edytowane Kwiecień 25, 2009 przez WalDo znaczniki Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Kwiecień 25, 2009 Zgłoszenie Share Napisano Kwiecień 25, 2009 Problem z tym, że mimo tego, że są zablokowane porty ssh i telnet to użytkownicy nadal się logują przez ssh. Czy gdzieś popełniłem błąd? Pomóżcie Na pewno w firewallu kolejność reguł ma zasadnicze znaczenie na początku zapewne wszystko z sieci lan wpuszczasz, a dopiero pozniej blokujesz konkretnet Ip-ki rozwiazanie takie jest o bani - jak sam zreszta widzisz - nie dziala po pierwsze proponuję byś wyłączył telnetd - polecenie setup w konsoli po drugie zmien aslo administratora - zapewne pół sieci już jeżeli przez telnet na koncie roota pracowales po trzecie zablokuj tym użytkownikom dostęp do routera, np. poprzez zmianę shella usermod -s /bin/true user1 gdzie user1 to oczywiście nazwa uzytkownika zmiana to spowoduje ze ci uzytkownicy beda mieli dostep do poczty, ale nie beda mogli sie zalogowac via ssh/ telnet ,ftp nastepnie proponuje abys dodal nastepujacy wpis do pliku /etc/hosts.deny sshd: ALL EXCEPT 127.0.0.1 192.168.1.x yyy,yyy,yyy,yyy gdzie 192.168.1.x - adres ip twojego komputera w sieci lan z którego chcesz sie laczyc yyy.yyy.yyy.yyy adres ip komputera z sieci internet z ktorego chcesz miec dostep via ssh do swojej maszyny oczywisci liste mozesz rozszarzyc o kolejne komputery dodatkowo proponuje byś przypisal swoj adres IP na stale do adresu MAC swojej karty sieciowej w pliku /etc/ethers (ktorego domyslnie nie ma - musisz go stowrzyc) XX:XX:XX:XX:XX:XX 192.168.1.yyy gdzie XX:XX:XX:XX:XX:XX - to adres MAC karty sieciowej twojego komputera a 192.168.1.yyy to jego adres ip oczywiscie proponuje bys zmienil port na ktorym dziala sshd (w pliku /etc/ssh/sshd_config) Port 184 Protocol 2 oczywiscie dopusc na firewallu port 184 zamiast 22 (184 mozesz zmienic oczywiscie na inny wolny) Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
morsik Napisano Kwiecień 25, 2009 Zgłoszenie Share Napisano Kwiecień 25, 2009 np. poprzez zmianę shella usermod -s /bin/true user1 Do tego jest specjalny program /sbin/nologin @miflex: jeśli dobrze rozumiem, to te 192.168.1.10 to są IPki odpowiednich komputerów z których ludzie się łączą? Bo jeśli chciałeś zablokować porty 38293:49151 i inne, to popełniłeś błąd, bo to działa tak: Masz serwer z portem 80, ale klient łączy sie nie na 80, lecz na 4523, 2354, 1244, 23498 (liczby losowe tu są z wyższego zakresu portów). Więc blokując te porty nie blokujesz tak naprawdę nic. Ostatecznie połączenie przebiega tak: [klient] 192.168.0.123:12345 ------→ 192.168.0.1:80 [serwer] Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Kwiecień 25, 2009 Zgłoszenie Share Napisano Kwiecień 25, 2009 @miflex: jeśli dobrze rozumiem, to te 192.168.1.10 to są IPki odpowiednich komputerów z których ludzie się łączą? Bo jeśli chciałeś zablokować porty 38293:49151 i inne, to popełniłeś błąd, bo to działa tak: Masz serwer z portem 80, ale klient łączy sie nie na 80, lecz na 4523, 2354, 1244, 23498 (liczby losowe tu są z wyższego zakresu portów). Więc blokując te porty nie blokujesz tak naprawdę nic. morsik pomyliłeś sport i dport zauważ że dobrze blokuje iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 22 -j DROP hmm tyle ze na zlym lancuchu to robi powinno byc na INPUT a nie na FORWARD czyli iptables -I INPUT -s 192.168.1.10 -p tcp --dport 22 -j DROP czy nologin nie blokuj poczty, samby i innych? ps/ telnet i sshd działają tylko na tcp Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Arabski Napisano Kwiecień 26, 2009 Zgłoszenie Share Napisano Kwiecień 26, 2009 po pierwsze proponuję byś wyłączył telnetd - polecenie setup w konsoli chkconfig również. czy nologin nie blokuj poczty, samby i innych? Nie. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
miflex Napisano Kwiecień 26, 2009 Autor Zgłoszenie Share Napisano Kwiecień 26, 2009 (edytowane) Wpisałem iptables -I INPUT -s 192.168.1.10 -p tcp --dport 22 -j DROP i nic, nadal mogą Mam Server na FC 7. Internet jest doprowadzony do eth0. Poprzez eth1 jest siec lokalna 192.168.1.x Jest maskarada : #!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -t filter -P FORWARD DROP iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/16 -d 0/0 -j MASQUERADE /sbin/modprobe ip_nat_ftp i jest rc.firewall: #!/bin/sh echo 1 > /proc/sys/net/ipv4/ip_forward # Blokowanie strony www.nasza-klasa.pl iptables -I FORWARD -m string --algo bm --string 'nasza-klasa' -j DROP # Blokowanie strony www.rapidshare.com iptables -I FORWARD -m string --algo bm --string 'rapidshare' -j DROP # Blokowanie strony www.megaupload.com iptables -I FORWARD -m string --algo bm --string 'megaupload' -j DROP # Blokowanie strony Bearshare iptables -I FORWARD -m string --algo bm --string 'bearshare' -j DROP #Blokowanie ftp i ftps iptables -I FORWARD -s 0.0.0.0/0 -p tcp --dport 20 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p udp --dport 20 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p tcp --dport 21 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p udp --dport 21 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p tcp --dport 1024 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p udp --dport 1024 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p tcp --dport 990 -j DROP iptables -I FORWARD -s 0.0.0.0/0 -p udp --dport 990 -j DROP #Przekierowanie poczty wewnetrznej z sieci 192.168.1.10 na 192.168.2.0 iptables -I FORWARD -p tcp -d 192.168.2.0/255.255.255.0 --dport 25 -j ACCEPT iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 25 -j DNAT --to 192.168.1.10 iptables -I FORWARD -p udp -d 192.168.2.0/255.255.255.0 --dport 110 -j ACCEPT iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 110 -j DNAT --to 192.168.1.10 iptables -I FORWARD -p udp -d 192.168.2.0/255.255.255.0 --dport 25 -j ACCEPT iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 25 -j DNAT --to 192.168.1.10 iptables -I FORWARD -p tcp -d 192.168.2.0/255.255.255.0 --dport 110 -j ACCEPT iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 110 -j DNAT --to 192.168.1.10 #Przekierowanie VNC z adresu 192.168.1.10 na adres 192.168.2.0 iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 5900 -i eth0 -j DNAT --to 192.168.1.10 #Przekierowanie strony z procedurami(wewn) z sieci 192.168.1.173 na 192.168.2.0 iptables -t nat -A PREROUTING -s 192.168.2.0/24 -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.1.173:80 moze gdześ jest błąd? Usługe telnet muszę miec bo chodzi serwer księgowości i księgowe łączą sie do niego po telnet ---------------- Ponownie proszę o stosowanie właściwych znaczników przy wklejaniu kodu Edytowane Kwiecień 26, 2009 przez miflex znaczniki Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
morsik Napisano Kwiecień 26, 2009 Zgłoszenie Share Napisano Kwiecień 26, 2009 morsik pomyliłeś sport i dport zauważ że dobrze blokuje Aha, dzięki za info. Akurat na iptables się nie znam prawie w ogóle, więc... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ippo Napisano Kwiecień 26, 2009 Zgłoszenie Share Napisano Kwiecień 26, 2009 sshd: ALL EXCEPT 127.0.0.1 192.168.1.x yyy,yyy,yyy,yyy A nie lepiej tak: /etc/hosts.deny ALL: ALL i nikt nie wchodzi a wyjątki w /etc/hosts.allow sshd: vvv.xxx.yyy.zzz czyli swój komputr z którego logujesz się na serwer Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Kwiecień 26, 2009 Zgłoszenie Share Napisano Kwiecień 26, 2009 pokaz lepiej to: iptables -L ps. zamiast filtrowac iptablesami strony www, proponuje postawic transparentne proxy z filtrem tresci - wzrost bezpieczenstwa a jak chcesz zarzadzac pasmem to poczytaj o htb, cbq Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
miflex Napisano Kwiecień 27, 2009 Autor Zgłoszenie Share Napisano Kwiecień 27, 2009 moj iptables: Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination DROP tcp -- 192.168.1.10 anywhere tcp dpt:telnet DROP tcp -- 192.168.1.10 anywhere tcp dpt:ssh ACCEPT tcp -- anywhere 192.168.2.0/24 tcp dpt:pop3 ACCEPT udp -- anywhere 192.168.2.0/24 udp dpt:smtp ACCEPT udp -- anywhere 192.168.2.0/24 udp dpt:pop3 ACCEPT tcp -- anywhere 192.168.2.0/24 tcp dpt:smtp DROP udp -- anywhere anywhere udp dpt:ftps DROP tcp -- anywhere anywhere tcp dpt:ftps DROP udp -- anywhere anywhere udp dpt:1024 DROP tcp -- anywhere anywhere tcp dpt:1024 DROP udp -- anywhere anywhere udp dpt:ftp DROP tcp -- anywhere anywhere tcp dpt:ftp DROP udp -- anywhere anywhere udp dpt:ftp-data DROP tcp -- anywhere anywhere tcp dpt:ftp-data DROP all -- anywhere anywhere STRING match "bearshare" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "megaupload" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "rapidshare" ALGO name bm TO 65535 DROP all -- anywhere anywhere STRING match "nasza-klasa" ALGO name bm TO 65535 ACCEPT all -- 192.168.1.0/24 anywhere ACCEPT all -- anywhere 192.168.1.0/24 Chain OUTPUT (policy ACCEPT) target prot opt source destination Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Kwiecień 27, 2009 Zgłoszenie Share Napisano Kwiecień 27, 2009 iptables -t filter -I INPUT -s 0/0 -p tcp --dport 23 -j DROP Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
miflex Napisano Kwiecień 28, 2009 Autor Zgłoszenie Share Napisano Kwiecień 28, 2009 Nie działa. Nadal mogą użytkownicy. Może zastosować politykę iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT tylko nie wiem co z maskaradą? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Kwiecień 30, 2009 Zgłoszenie Share Napisano Kwiecień 30, 2009 Nie działa. Nadal mogą użytkownicy. użytkownicy z LAN-u mogą się zatelenetować? czy polecenie iptables -t filter -I INPUT -s 0/0 -p tcp --dport 23 -j DROP wykonujesz na maszynie na ktorej jest uruchomiony demon telnet czy na routerze czy na stacji roboczej? podaj output iptables -t filter -L INPUT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
miflex Napisano Maj 2, 2009 Autor Zgłoszenie Share Napisano Maj 2, 2009 Wykonuje ten zapis iptables -t filter -I INPUT -s 0/0 -p tcp --dport 23 -j DROP na routerze na ktorym jest FC7 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
ysio Napisano Maj 2, 2009 Zgłoszenie Share Napisano Maj 2, 2009 iptables -P INPUT DROP #lista ipkow z ktorych dopuszczasz dostep ssh i telnet allow_host="192.168.1.2 192.168.1.3 192.168.1.4" #dopuszczam ssh i telnet for host in $allow_host ; do iptables -I INPUT -s $host -p tcp --dport 22 -j ACCEPT; done for host in $allow_host ; do iptables -I INPUT -s $host -p tcp --dport 23 -j ACCEPT; done #jeżeli na routerze masz dhcpd iptables -I INPUT -s 192.168.1.0/255.255.255.0 -p tcp --dport 67 -j ACCEPT iptables -I INPUT -s 192.168.1.0/255.255.255.0 -p udp --dport 67 -j ACCEPT #samba iptables -I INPUT -s 192.168.1.0/255.255.255.0 -p tcp --dport 445 -j ACCEPT #DNS iptables -I INPUT -s 192.168.1.0/255.255.255.0 -p udp --dport 53 -j ACCEPT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się