Wszystko

Wszystkie

Archiwum

dad1111
dad1111
  • 0
Hej, szybkie pytanie. Na komputerze chciałbym używać swojego lokalnego DNS (bind9). Przekierowałem cały ruch DNS na niego przy użyciu iptables (wolałem tak niż modyfikować resolv). Wygląda, że działa bo w logach gdy robię ping wykop.pl to widzę teraz query. Chciałbym przejść do kolejnego etapu. Chciałbym dodać ip w ten sposób rozwiązane do ipset, aby było używane potem przez iptables.

Chodzi o to, że domyślnie użytkownik ma mieć zablokowany cały ruch wychodzący przez
dad1111
dad1111
  • 0
@Bad_Wolf: ok. Pi-hole to nie do końca to o co mi chodzi bo mnie chodzi o filtrowanie konkretnego kompa niezależnie od sieci, a tutaj musiałbym całego pi-hole stawiać lokalnie. Ale znalazłem rozwiązanie.
Zamieniłem bind9 na dnsmasq i on ładnie wrzuca do ipset. Tam skonfigurowałem kilka domen, które są zaakceptowane i dziecko może wchodzić jedynie na podane domeny w dnsmasq.conf potem mam reguły w iptables:

$ sudo iptables --list
Chain INPUT (policy
  • Odpowiedz
Czlowiek_Ludzki
Czlowiek_Ludzki
  • 2
Oracle Cloud nie dziala, mam juz dosyc tej #!$%@?.

Zrestartowalem serwer, porty poblokowane. Sprawdzam VCN, wszystko jest tak jak byc powinno. Nie dziala. Wlaczam ufw, ustawiam reguly. Nie dziala. Wylaczam ufw, pisze reguly w iptables. Nie dziala. Czyszcze ufw i iptables, restartuje serwer. Nie dziala. Wyrzucam wszystko w #!$%@? z VCN, ufw i iptables, ufw wylaczone, VCN ustawione jak na obrazku, iptables ustawione zeby puszczal wszystko jak leci. Uwaga - nie dziala.
Czlowiek_Ludzki - Oracle Cloud nie dziala, mam juz dosyc tej #!$%@?. Zrestartowalem...

źródło: chujocle

Pobierz
K.....o
K.....o
  • 1
o juz dziala


@Czlowiek_Ludzki: takie awarie są najlepsze xd

Ostatnio miałem podobną magiczną awarie. Aby coś pomoc, powiedziałem technikowi w pracy, aby wpisal jakaś tam komendę, po czym zaczęło wszystko działać...

Wszyscy myślą zem bohater. Że się znam itp. A czy to pomogło?

H-ja xd

Pewnie piąty pod rząd restart pomógł xd

Sprawdziłem później w dokumentacji, tam nie ma nawet podobnej komendy ( ͡° ͜ʖ ͡°)
Nikt
  • Odpowiedz
Distrust
Distrust
  • 0
Mam w kodzie wywołanie zewnętrznej usługi, do której nie mam dostępu (bo np. jest za VPN, albo jest czasowo niedostępna, ...).
Chciałbym podstawić lokalną zaślepkę, która zostanie wywołana zamiast tej oryginalnej usługi.
Załóżmy, że:
- wywołanie w kodzie PHP to: "http://10.0.0.10/costam.php"
- nie mogę tego adresu zmienić w kodzie
- wszystkie usługi typu PHP, Nginx, baza danych itp. działają w kontenerach dockerowych
- kontenery mogą się wzajemnie komunikować po swoich IP
GaiusBaltar
GaiusBaltar
  • 2
kiedy w kodzie są wywołania po adresie IP


@Distrust: kto-to-panu-tak-#!$%@?.jpg

No to po IPkach coś w ten deseń:

iptables -t nat -A OUTPUT -p tcp -d 9.8.7.6 -j DNAT --to-destination 1.2.3.4

tylko się upewnij, że jest NAT włączony.
  • Odpowiedz
korni007
korni007
  • 3
#sysadmin #linux #iptables

Ma ktoś fajnego takiego gotowca pod iptables? Najlepiej z komentarzami. Mialem kiedyś coś takiego i kupę lat mi się sprawdzało (plus swoje doklepalem) i działało miód malina a teraz szukam i nie zrobiłem backupu a serwer wygasł :(
henk
henk
  • 0
#siecikomputerowe #linux
jest tu jakiś specjalista od #iptables?
mam setup taki:
- mam server vpn (ppp) na #raspberrypi, mam publiczne IP
- łączę się do niego lapkiem

na lapku chcę postawić jakiś serwer nasł#!$%@?ący na pocie ABC. jakie reguły iptables na malince ustawić, żeby port ABC był otwarty na publicznym IP?
henk
henk
  • 1
@secondreality: @ekanwro: @henk: wykminiłem sam
to będzie tak:
- IP wewn malinki: A.B.C.D
- IP clienta pptp: A.B.C.E
- port na klliencie jaki chcemy przekierować na malinkę: XYZ
- port na jaki chcemy przekierować TUV (usługa z A.B.C.E:XYZ będzie widoczna na malince pod A.B.C.D:TUV)

iptables -t nat -A PREROUTING -p tcp --dport TUV -j DNAT --to-dest A.B.C.E:XYZ
iptables -t nat -A POSTROUTING -d A.B.C.E -p tcp --dport XYZ -j
  • Odpowiedz
oczkers
oczkers
  • 0
Wykrycie i automatyczne wrzucenie do ipset to nie problem ale oczywiście zanim kretyn zorientuje się, że żaden z 20k proxy ip nie działa to jeszcze będzie próbował przez godzinę. A następnego dnia wróci z nową paczką adresów.

Jak się bronicie przed ddos/brute force lub podobnymi atakami, budujecie bazy adresów ip z publicznych list proxy i banujecie prewencyjnie całe bloki adresów?
Tylko skąd wziąć solidne info żeby przy okazji nie wyciąć legitnych użytkowników?
oczkers
oczkers
  • 0
@Rexikon: chyba coś koło miliona normalnie, a później koło miliarda bo sam firehol na 1lvl który teoretycznie powinien być zawsze zablokowany daje 600mln ;-) ale część z tego jest na whiteliście bo lądują tam też np dnsy z racji podatności na wykorzystywanie w atakach czy wszystkie ip z lanu.

Jak chcesz same proxy to firehol_anonymous + dronbl ale tam niestety nie udostępniają pełnej listy więc trzeba robić dnsowe requesty jak przy
  • Odpowiedz
Entity
Entity
  • 0
#linux
#iptables
siemka porzuci ktos jakis dobry poradnik do iptables? mam skonfigurowanego dmz na moj serwerek i chcial bym zeby przez adres publiczny dalo sie tylko do vpn zalogowac a dalej zeby smigalo jak smiga
balrog84
balrog84
  • 1
Jest tu jakiś życzliwy Mirek, który w miarę ogarnia jak loguje #linux, a właściwie to bardziej jak działają reguły #iptables? Bo mam następujący problem.
Serwer SSH otwarty na domyślnym porcie na świat, co chwilę jest odpytywany (brute force na root), i chciałem DROP-ić te pakiety jakimś prostym rozwiązaniem, żeby ograniczyć ilość wpisów w auth.log

/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
RRybak
RRybak
  • 5
@balrog84: trochę z innej strony. Możesz zainstalować sobie fail2ban, który zrobi to wszystko za Ciebie, także na innych usługach. No chyba, że chcesz się iptables uczyć ;)
  • Odpowiedz
RRybak
RRybak
  • 4
@balrog84: na chłopski rozum, pierwsze dopasowanie decyduje o pakiecie.
a) dopasujesz wszystko, do dropa nigdy nie dojdzie
b) drop decyduje, do accepta dojdzie wszystko co nie spasowało przed chwilą
  • Odpowiedz
Fiver
Fiver
  • 2
Mireczki robie zadanie do szkoly. Mam podsiec i 3 klientow w niej. Mam napisac skrypt iptables ktory:
- pozwala laczyc sie z dowolnymi stronami http/https i RDP
- umozliwia udostepnienie uslug ssh i http do internetu ale tylko dla systemow w sieci wewnetrznej
- wszystkie polaczenia maja byc logowane i chronione przed atakami typu flodding

Napisalem cos takiego:
#!/bin/bash
#eth0 - interfejs zew
#ip - 192.168.1.1

echo "USUNIECIE STARYCH Regul"
iptables -F
  • Odpowiedz
Iceash
Iceash
  • 1

Mirki kurla pomocy.

Buduje sobie router ktory poprawnie przekazuje mi polaczenia pomiedzy dwoma interfejsami, miedzy Wlan0 (internet) a ue0 (LAN) ale chce zeby ten ruch zostal ponadto przekierowany przez transparetne proxy ktore mam na adresie 127.0.0.1:9040. Do dyspozycji mam IPFW (preferowane), PF, IPTABLES. Czy ktos bylby na tyle uprzejmy by powiedziec mi jak to zrobic?
Tutaj sa moje konfigi: (wykopowa edycja znieksztalca i powduje ze sa nieczytelne) https://forums.freebsd.org/threads/how-to-routing-traffic-under-transparent-proxy.66063/
maniac777
maniac777
  • 0
najbardziej sensowny element całego łańcucha zabezpieczeń.


Jak u Ciebie to coś jest bardziej sensowne niż klucze kryptograficzne czy IPSec to gratuluję świetnego samopoczucia.

  • Odpowiedz
ciezka_rozkmina
ciezka_rozkmina
  • 4
@maniac777: Czy gdziekolwiek stwierdziłem, że port knocking jest silniejszym zabezpieczeniem niż klucze kryptograficzne czy IPSec? Z całym szacunkiem, może znasz się na bezpieczeństwie systemów IT ale czytać to Ty nie umiesz. Nie przypisuj mi słów, których nie powiedziałem. Ok?
  • Odpowiedz
Kryspin013
Kryspin013
  • 0
@wytrzzeszcz: Możesz spróbować ale nie wiem jak zrobić listę wszystkich adresów youtuba, dodatkowo. Ustawiasz politykę przychodzących i wychodzących na deny i po kolei dodajesz, najpierw zakres sieci lokalnej, a potem adresy yt. Ale niestety nie powiem ci jak to dokładnie zrobić i wydaje mi się że trzeba jakąś sztuczkę zastosować bo może ci źle odfiltrowywać pakiety. Robiłem takie rzeczy kilka lat temu dla fb ale obecnie nie pamietam za dużo z
  • Odpowiedz
balrog84
balrog84
  • 2
Cześć, mam pytanie dot. iptables i NAT.
Używam tego rozwiązania:
https://wiki.gentoo.org/wiki/Home_Router#NAT_.28a.k.a._IP-masquerading.29
W regułkach dla NAT jest taki standard:

iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
Mógłby ktoś napisać w kilku słowach co tu się dzieje. Ciekawi mnie ta pierwsza linijka, dlaczego te pakiety
moh1942
moh1942
  • 1
@balrog84: w pierwszej linijce odrzucane są pakiety do sieci 192.168.0.0 dlatego -d (destination) a w drugiej akceptowane z 192.168.0.0 dlatego -s (source), mogę się mylić. Uważam też że jest zbędna
  • Odpowiedz
mariecziek
mariecziek
  • 1
Witajcie mirki.
Mam router TP-LINK z wgranym #gargoyle i chciałbym zablokować dostęp do Steam dla jednego komputera w sieci z IP 192.168.10.218 czy taka reguła z IP tables będzie poprawna?
iptables -A INPUT -s 192.168.10.218 -j DROP -p UDP --dport 27000:27050 (blokuję porty od 27000 do 27050 dla protokołu UDP)
Szczerze mówiąc to iptables zawsze było dla mnie trudne do zrozumienia i unikałem tematu jak wody, ale wydaje mi się, że użycie
Fall
Fall
  • 2
@mariecziek:
1. musisz użyć łańcucha FORWARD, a nie INPUT
2. aby odblokować najlepiej regułę usunąć, bo jak zmienisz DROP na ACCEPT to dodasz kolejną regułę dalej w kolejności i gość pozostanie zablokowany, bo firewall przetwarza reguły w kolejności
  • Odpowiedz
mariecziek
mariecziek
  • 1
@Solitary_Man: wiem, że zrobi, ale chodzi mi o to, że tutaj: http://i.share.pho.to/71161395_o.png mam do wyboru trzy opcje: block all, block only, block all except. Czyli mam wrażenie, że zablokuję wszystko + będę miał regułkę blokowania steam. Dlatego pomyślałem, że lepszym wyborem będzie po prostu dodanie reguły do iptables. Zablokuję wtedy tylko steam, no i będę wiedział jak korzystać z iptables :)
  • Odpowiedz
RRybak
RRybak
  • 2
Mirasy, prosty wydawałoby się porforward

iptables -t nat -A PREROUTING -p tcp -d AAA.AAA.AAA.AAA --destination-port 12111 -j DNAT --to-destination BBB.BBB.BBB.BBB:12111

Chcę tym przekierować RDP z maszyny AAA na maszynę BBB. Problem jest taki, że BBB dopuszcza połączenia tylko z AAA, więc próbuję go oszukać przez forwarding. Tylko to nie działa :)
Pytanko - czy PREROUTING w ten sposób podmienia adres IP i BBB faktycznie widzi jakby się do niego AAA dobijało? Nie
koob
koob
  • 1
@RRybak: musisz dodac jeszcze:
iptables -t nat -A POSTROUTING -p tcp -d BBB.BBB.BBB.BBB --dport 12111 -j SNAT --to-source AAA.AAA.AAA.AAA
  • Odpowiedz

Powiązane tagi