Форум системных администраторов

Raven писал(а): Хорошо гуглим, да? Я поэкспериментировал:
Смотрим первый линк

Ну раз уж вам скучно, то милости просим почитать также и этот хендбук... и этот... и этот - мировоззрение надо расширять за пределы убунты))

Да. Гуглить умею. Я же указал, что подобное не использую.

Далее.

Raven писал(а): Попробуйте-ка в iptables зарезать скорость без использования внешнего шейпера.

Raven писал(а): Пакеты могут быть разного размера, так что этот метод можно использовать максимум при очень жестком ограничении. В данном примере - это порядка до 5-7 кБ/сек.

Скорость ограничена. Про гибкость и прочее я что то не увидел в вопросе.

А по поводу хендбуков это у меня уже есть, но спасибо что напомнили.

Raven писал(а): - мировоззрение надо расширять за пределы убунты))

IPtables используется только в убунту? К чему это вообще?
З.Ы Почему в общем тривиальные вопросы приводят к холиварсам? Хоть ничего вообще не говори.

Phantom писал(а):IPtables используется только в убунту? К чему это вообще?

Phantom писал(а):Просто ipfw, pf не мое. Для этого надо работать с bsd системами.

Как там говорили в старину? Не зная броду...

Phantom писал(а):З.Ы Почему в общем тривиальные вопросы приводят к холиварсам? Хоть ничего вообще не говори.

Поэтому мы и молчаливы

Вот именно не зная броду......потому и спросил.

Phantom писал(а):Хм. Через IPTables эта задача решается на раз два(хотя одним только фаирволом с брутом не воюют). Неужели ipfw настолько убогий?

Потом вопрос перетек в ограничение скорости, хотя с брутфорсом это весьма косвенно связано...там основной фактор все таки количество подключений в секунду. (Неосторожный брутфорс может перерасти в DDoS

).
Причем эта модель одна из тех которые у меня работают(и хорошо работает.) Ну так мне не знающему брода как бы и не с руки писать подобное в ipfw(хотя наверное стоит попробовать). Странно, что знатоки подобной системы защиты не вывалили человеку подобную модель. Вопрос ведь у solodorik`а был как сделать, а не куда пойти и посмотреть.
Что касается iptables & ubuntu. Не понятно. А как насчет debian& iptables || slackware & iptables || redhat & iptables || CentOS & iptables.... ну и так далее. ? Или это тоже по мнению сообщества недолинуксы и одно freebsd рулит... Эх.....не....это опять холиварс будет...... Чего не скажешь про ipfw.... Не...всё...баста.

ipfw торт. iptables торт, ipf торт, pf торт.

Господа извеняюсь за откапывание стюардессы, но хотелось бы поднять тему.
И так может кто-нибудь все-таки подсказать как сделать на ipfw такое:

Код: Выделить всё

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 60000 -j ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP 
iptables -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

Собственно суть проблемы вот в чем. Есть VPN-сервер на mpd5. Нужно сделать ему защиту от брутфорса но он зараза

пищит логи так что fail2ban и ему подобные не могут оттуда адрес хоста выдернуть. Костыли городить не охота. А сделать вот так же как в примере выше было бы почти идеальным вариантом. Выкинуть ipfw не предлагать, прибит гвоздями.

К сожалению ipfw вряд-ли можно заюзать для эффективной защиты от брутфорса средствами одного лишь фаервола. Тут обычно приходится всякие костыли городить. Хотя я бы посмотрел в сторону pf. То есть как вариант - запустить разом 2 фаера, в ipfw по порту mpd5 все allow

Код: Выделить всё

add allow tcp from any to me 1723 in via ${ext_if}
add allow tcp from me 1723 to any out via ${ext_if}
add allow gre from me to any out via ${ext_if}
add allow gre from any to me in  via ${ext_if}

а в pf реализовал бы что-то типа

Код: Выделить всё

table <bruteforcers> persist
block in quick from <bruteforcers>
pass in on $ext_if inet proto tcp to $ext_if port 1723 flags S/SA keep state (max-src-conn-rate 60/2, \ overload <bruteforcers> flush)

Хех. А есть вообще опты использования ipfw и pf одновременно? Как они уживаются, есть ли какие-то несостыквки?

Ну мне лично так извращаться не приходилось, но я слыхивал о успешном опыте некоторых. В манах у лисяры есть примеры использования 2 вместе правда там задача несколько иная - один выступает фаером, другой шейпером. Но уживаться они уживаются.

В предложеном мной варианте логика проста - первый фаер вообще все разрешает, а второй либо перед ним либо за ним фильтрует тот же порт.

Ура, в топку хоровод из фаерволов нашел как заставить freeradius (а у меня mpd через него аутентификацию получает) писать в логи IP-адрес клиента. Потом прикручу к этому fail2ban и дай бог чтобы ресурсов хватило парсить все эти логи. :D Опять же не совсем тема топика но если у кого-то вдруг цепочка поисков сложится так же как у меня... В общем я просто оставлю это здесь.
radiusd.conf

Код: Выделить всё

...
log {
        destination = files
        file = ${logdir}/radius.log
        syslog_facility = daemon
        stripped_names = no
        auth = yes
        auth_badpass = yes
        auth_goodpass = no
        msg_badpass = "Host %{Tunnel-Client-Endpoint}"
}
...

http://wiki.freeradius.org/config/Logging
http://wiki.freeradius.org/config/Run%2 ... 0variables

P.S. Raven, спасибо за консультацию. Приятно было общаться.

Форум системных администраторов

правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw

Re: правила для ipfw