Dorik1972 Posted January 21, 2017 Posted January 21, 2017 Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе 1 Quote
vasek00 Posted January 22, 2017 Posted January 22, 2017 (edited) Рассмотрите вариант с помощью ipset, тем более IP адреса можно добавлять самому в готовый список. Создание списка из wget -O- http://www.ipdeny.com/ipblocks/data/countries Далее загнать его например в geoblock и на нужный "порт" (переменная, номер порта куда направить) ... ipset create geoblock hash:net,port for net in $(wget -O- http://www.ipdeny.com/ipblocks/data/countries/ru.zone); do ipset add geoblock $net,порт done iptables -I INPUT -m state --state NEW -m set --match-set geoblock src -j REJECT ... ... add geoblock 91.217.136.0/24,tcp:порт add geoblock 91.246.25.0/24,tcp:порт add geoblock 5.172.0.0/19,tcp:порт add geoblock 46.249.0.0/19,tcp:порт ... /opt/tmp # iptables -nvL | grep geoblock 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW match-set geoblock src reject-with icmp-port-unreachable /opt/tmp # /opt/tmp # ipset --list geoblock ... 62.168.224.0/19,tcp:порт 128.204.0.0/18,tcp:порт 185.5.160.0/22,tcp:порт 194.126.168.0/22,tcp:порт ... сам список можно сформировать в ручную в место того чтоб брать wget с ipdeny, его формат простой например для зоны .... 167.149.0.0/16 168.163.0.0/16 199.103.106.0/24 199.103.111.0/24 199.103.112.0/24 204.79.161.0/24 204.79.162.0/23 204.79.166.0/23 204.79.229.0/24 5.1.96.0/21 Например ru.zona - 123КБ, ch.zone - 30KБ. Ну или с DROP Тут по моему был пример ipset при блокировки рекламы. Edited January 22, 2017 by vasek00 Quote
Dorik1972 Posted January 22, 2017 Author Posted January 22, 2017 Ну я где-то так "через такой" костыль и отбиваю только с помощью file2ban... но ... функционал xtables-addons поинтереснее ... кроме geoip ... Например - наказывать "ломящихся" незакрытым соединением минут на 10-20 , особенно любителей "по сканировать" .... Quote
vasek00 Posted January 22, 2017 Posted January 22, 2017 (edited) Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter типа xt_TARPIT и в iptables libipt_TARPIT — TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, и работают атакующие ботнеты. открытие порта для пустых соединений iptables -A INPUT -i $IF -p tcp -m tcp --destination-port ххх -j TARPIT или для всех оставшихся последняя запись iptables -A INPUT -p tcp -m tcp -j TARPIT Основной минус это временной интервал timeout. типа xt_DELUDE — DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST (чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление о состоянии ваших портов. Что имеем так это все в - /lib/modules/3.4.113 /lib/modules/3.4.113 # ls -l | grep xt_ -rw-r--r-- 1 root root 2008 Jan 20 22:40 xt_CLASSIFY.ko -rw-r--r-- 1 root root 3400 Jan 20 22:40 xt_DSCP.ko -rw-r--r-- 1 root root 4944 Jan 20 22:40 xt_TEE.ko -rw-r--r-- 1 root root 7196 Jan 20 22:40 xt_TPROXY.ko -rw-r--r-- 1 root root 4336 Jan 20 22:40 xt_addrtype.ko -rw-r--r-- 1 root root 1908 Jan 20 22:40 xt_comment.ko -rw-r--r-- 1 root root 3644 Jan 20 22:40 xt_connbytes.ko -rw-r--r-- 1 root root 3144 Jan 20 22:40 xt_connmark.ko -rw-r--r-- 1 root root 2676 Jan 20 22:40 xt_dscp.ko -rw-r--r-- 1 root root 3092 Jan 20 22:40 xt_ecn.ko -rw-r--r-- 1 root root 2304 Jan 20 22:40 xt_esp.ko -rw-r--r-- 1 root root 11360 Jan 20 22:40 xt_hashlimit.ko -rw-r--r-- 1 root root 2648 Jan 20 22:40 xt_helper.ko -rw-r--r-- 1 root root 2200 Jan 20 22:40 xt_hl.ko -rw-r--r-- 1 root root 2552 Jan 20 22:40 xt_iprange.ko -rw-r--r-- 1 root root 2152 Jan 20 22:40 xt_length.ko -rw-r--r-- 1 root root 2116 Jan 20 22:40 xt_owner.ko -rw-r--r-- 1 root root 2984 Jan 20 22:40 xt_physdev.ko -rw-r--r-- 1 root root 2084 Jan 20 22:40 xt_pkttype.ko -rw-r--r-- 1 root root 3772 Jan 20 22:40 xt_policy.ko -rw-r--r-- 1 root root 2456 Jan 20 22:40 xt_quota.ko -rw-r--r-- 1 root root 12368 Jan 20 22:40 xt_recent.ko -rw-r--r-- 1 root root 6060 Jan 20 22:40 xt_set.ko -rw-r--r-- 1 root root 5332 Jan 20 22:40 xt_socket.ko -rw-r--r-- 1 root root 2492 Jan 20 22:40 xt_statistic.ko -rw-r--r-- 1 root root 2400 Jan 20 22:40 xt_string.ko /lib/modules/3.4.113 # Edited January 22, 2017 by vasek00 Quote
Dorik1972 Posted January 23, 2017 Author Posted January 23, 2017 19 часов назад, vasek00 сказал: Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter типа xt_TARPIT и в iptables libipt_TARPIT xtables-addons-common это подерживает TARPIT, DELUDE + CHAOS Quote
plagioklaz Posted January 23, 2017 Posted January 23, 2017 Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel. Quote
Dorik1972 Posted January 23, 2017 Author Posted January 23, 2017 1 час назад, plagioklaz сказал: Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel. Из того что доступно в iptables я сделал вот так в /ndm/netfilter.d ## Блокирование INVALID-пакетов iptables -A INPUT -i eth3 -m conntrack --ctstate INVALID -j DROP ## Блокирование новых пакетов, которые не имеют флага SYN iptables -A INPUT -i eth3 -p tcp ! --syn -m conntrack --ctstate NEW -j DROP ## Блокирование фрагментированных пакетов iptables -A INPUT -i eth3 -f -j DROP ## Блокирование пакетов с неверными TCP флагами iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,RST FIN,RST -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,ACK FIN -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,URG URG -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,FIN FIN -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,PSH PSH -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL NONE -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP ## Защита от сканирования портов iptables -N port-scanning iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN iptables -A port-scanning -j DROP Ну и посмотреть "как там дела" после применения правил iptables -nvL 2 Quote
vasek00 Posted January 23, 2017 Posted January 23, 2017 Подождем lib из 11 сейчас же ревизия /usr/lib/libxtables.so.10 или /opt/lib/libxtables.so.10 Цитата установке и настройке средств защиты от ломящихся Тут уже есть много примеров и которые могут работать в месте на основе DNSMasq с плюсом IPSet Суть DNSMasq прием и обработка запросов DNS от клиента с проверкой по файлу hosts который обновляется автоматом (или в ручную создается). Меньше таких сайтов посещаете - меньше оставляем следы своего прибывания. Суть IPSet готовые команды выше практически все это создать список неугодных IP адресов поместив их в "geoblock" или свое имя и использовать его в одном входящем INPUT правиле iptables. Создавать большой список не есть гуд, а может к вам и не ломятся или один "залетный" то можно только для него. И не забываем, что разработчик тоже учитывает реалии жизни. https://forum.keenetic.net/topic/139-блокировка-рекламы-на-роутере/ https://forum.keenetic.net/topic/97-блокировка-сбора-информации-windows-10/ Quote
Dorik1972 Posted January 23, 2017 Author Posted January 23, 2017 (edited) Ну про блокировку рекламы я тоже "отметился" на основе privoxy .... автоматом обновляет + возможность многих "вкусностей" опять же если "найдеться" недстающий модуль под Python ... так еще и https фильтрацию "заточу" .... Можно использовать "в спайке" с решением dnsmasq (по файлу hosts).... но мне кажется что - privoxy изящнее и функциональнее НО ! Это все "постфактум" .... хотелось бы xtables-addons-common .... это ж "надстроечка" для iptables .... p.s. По privoxy+adblock есть изменения в скрипте обновления ... обновлю на днях инструкцию и ссылки Edited January 23, 2017 by Dorik1972 Quote
Le ecureuil Posted January 23, 2017 Posted January 23, 2017 Собирайте голоса, возможно в opkg-kmod-netfilter добавим модули ядра из xtables-addons. Но это будет только версия 1.42, ветка 2.x нам не подойдет. 1 Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.