Re: Automatické přidávání pravidel do iptables

Čtvrtek Březen 10 17:54:06 CET 2016

> iptables -A INPUT -d WAN -i WANPORT  --dport 22 -j LOG --log-prefix "Blacklist"
Tohle flagne každý příchozí paket. Těch může být hodně. Začal bych minimálně chytáním podle stavu (!ESTABLISHED?), pak nastavil i log limit -m limit --limit 5/min -j LOG ...
Vlastně teď stačí, když budu chtít někoho zablokovat, abych ti na port 22 poslal paket s podvrženou zdrojovou adresou.

Pak to jaksi nerozlišuje legální a nelegální spojení… Radši čti rovnou log sshd.

Dále, tohle přidává pravidla sekvenčně, takže se musí vždycky všechna projít. Až jich tam bude hodně, budeš pálit většinu CPU času na zpracování paketu vyhodnocováním pravidel. ipset používá rychlejší datové struktury.

Na tailu samotném nevidím nic špatného, ale celá ta věc, co děláš, mi přijde minimálně divná.

On 10.3.2016 14:18, Synek Miloslav wrote:
> dobrý den,
> 
> mohl by mě někdo prosím nakopnout správným směrem? Snažím se vyřešit, jak přidávat nová pravidla do iptables na základě záznamů v logu.
> Moje představa je asi takováto:
> 1. V iptables je pravidlo, které loguje, např.:
> iptables -A INPUT -d WAN -i WANPORT  --dport 22 -j LOG --log-prefix "Blacklist"
> 
> 2. Ze záznamů v logu které mají prefix "Blacklist" vytvářet průběžně nová DROP pravidla pro iptables pro zdrojové ip adresy.
> Zkusil jsem něco takovéhoto:
> tail -f /var/log/messages | awk  '/Blacklist/ {print $12}' | awk -F"=" '{system("/sbin/iptables -A BLOCKED -s " $2 " -j DROP")}'
> 
> tohle sice funguje dobře, pravidla to pěkně přidává do chainu BLOCKED a adresy se vzápětí již DROP-ují, ale tail mi nepřijde zrovna jako úplně to nejlepší řešení pro trvalý provoz.
> Určitě něco co umí tento mechanizmus provádět musí existovat, jen se mi to nepovedlo nalézt, resp. nepovedlo se mi položit správnou otázku strýci Googlovi.
> Případně, jestli mi někdo vyvrátí moje pochybnosti o použití tail-u k takovému účelu.
> 
> Děkuji za případné nasměrování
> 
> 
> Miloslav Synek
> 
> Správa IT PBtisk a.s., Příbram
> --------------------------------------------------------------------------------
> Počítače jsou výborným pomocníkem při řešení těch problémů, které by bez nich vůbec neexistovaly......
> Můžeme o tom diskutovat, můžeme o tom vést spory, můžeme s tím dokonce i nesouhlasit, ale to je tak všechno, co se proti tomu dá dělat.
> 
> 
> 
> 
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
> 

-- 
Jan Hrach | http://jenda.hrach.eu/
GPG CD98 5440 4372 0C6D 164D A24D F019 2F8E 6527 282E