 |
|
Модераторы: powerfox, ZeeLax |
 
|
|
IPTABLES LOG 
| linuxkolovorot |
|
|||
 Новичок Профиль Группа: Участник Сообщений: 4 Регистрация: 15.12.2010 Репутация: нет Всего: нет |
Если сканю свой 3306 порт, то в логах ничего не пишется, еслю сканю любой другой порт не зарубленый в пользовательской цепочке (tcp_packets, udp_packets) в логах всё вижу как надо
Подскажите в чем может быть проблема? надо чтобы в логах были видны все попытки атак на мой хост $IPTABLES -A INPUT -p tcp -j bad_tcp_packets ... $IPTABLES -A INPUT -p TCP -j tcp_packets $IPTABLES -A INPUT -p UDP -j udp_packets $IPTABLES -A INPUT -p ICMP -j icmp_packets ... $IPTABLES -A INPUT -j LOG --log-prefix "INPUT packet died: " $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New bad_tcp_packets !syn: " $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 3306 -j DROP $IPTABLES -A udp_packets -p UDP -s 0/0 --dport 3306 -j DROP |
|||
|
||||
Загрузка ...
| ZeeLax |
|
|||
 Эксперт  Профиль Группа: Модератор Сообщений: 4388 Регистрация: 20.8.2006 Где: Алма-Ата Репутация: 7 Всего: 88 |
Как именно сканируете? Видов скана великое множество.
Если сильно увлекаетесь логированием, не забудьте настроить адекватную нагрузке ротацию логов. Т.к. простой посылкой множества ненужных пакетов на сервер вам могут переполнить раздел с логами, а если это не отдельный раздел, то и весь корневой раздел. -------------------- Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none. — Doug Larson |
|||
|
||||
| linuxkolovorot |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 4 Регистрация: 15.12.2010 Репутация: нет Всего: нет |
понял что пакеты не попадали в лог т.к. умирали не доходя до таргета на лог
НО, непонятно почему эти пакеты не попадают в лог, NEW,INVALID SYN,ACK пакеты точно были и блокировались $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j LOG --log-prefix "NEW bad_tcp_packets SYN-ACK: " $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "NEW bad_tcp_packets not syn: " $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP как сканю? с помощью онлайн сервисов, например: pcflank.com grc.com/x/PortProbe=22 подскажите какиенить еще онлайн сканеры, желательно с возможностью выбора различных флагов при сканировании |
|||
|
||||
| ZeeLax |
|
|||
|
Эксперт Профиль Группа: Модератор Сообщений: 4388 Регистрация: 20.8.2006 Где: Алма-Ата Репутация: 7 Всего: 88 |
Включаете сниффер, смотрите, что приходит, сравниваете с тем, что логируется и блокируется.
-------------------- Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none. — Doug Larson |
|||
|
||||
| linuxkolovorot |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 4 Регистрация: 15.12.2010 Репутация: нет Всего: нет |
снифер включить нет возможности, т.к. тетсю IPT на локальной стационарной тачке
хотя можно врубить снифер на своём сервере удаленном, или на стационаре и сканить тада удаленный сервер нужен снифер с возможностью выбора флагов TCP при скане, порекомендуйте мощный снифер |
|||
|
||||
| linuxkolovorot |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 4 Регистрация: 15.12.2010 Репутация: нет Всего: нет |
не пойму почему на lo iface идут пакеты, при этом адрес отправителя и получателя(inetip) это мой внешний инет адрес
IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:01:00 SRC=inetip DST=inetip LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=26606 DF PROTO=TCP SPT=42197 DPT=80 WINDOW=32792 RES=0x00 SYN URGP=0 помоему это аномальная активность..., или я ошибаюсь? |
|||
|
||||
| ZeeLax |
|
|||
|
Эксперт Профиль Группа: Модератор Сообщений: 4388 Регистрация: 20.8.2006 Где: Алма-Ата Репутация: 7 Всего: 88 |
Сниффер - wireshark/tshark. Насчёт аномальности активности - всё зависит от того, что вы делаете в данный момент и как настроена марщрутизация, фаерволл и т.д.
-------------------- Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none. — Doug Larson |
|||
|
||||
|
|
| Правила форума "Linux/UNIX: Администрирование" | |
|
|
Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.
За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу). В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим. Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax. |
| 0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | Администрирование *NIX систем | Следующая тема » |
[ Время генерации скрипта: 0.0706 ] [ Использовано запросов: 22 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |