• Advertisement
backula, zabbix

Как правильно "закрыть" сервер от внешних вторжений

Переброс портов, контроль исходящего, входящего и впн трафика

Модератор: Модераторы форума

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение Sindrom » 26 авг 2011, 11:44

Ну тогда могу только предложить вносить правила руками в iptables
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение vad123123123 » 07 сен 2011, 09:08

Да, похоже надо выковыритвать из fwbuilder скомпиленное правило для блэклиста, и переделав его для ефв в скрипт пользовать в нем..
vad123123123
 
Сообщений: 7
Зарегистрирован: 20 авг 2011, 07:30

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение vad123123123 » 28 сен 2011, 11:36

Вот слабал скриптик, учусь, просьба не пинать.
Скрипт копируем на ефв, рядом с ним - файл (blacklist) с ип, которые надо почикать.

#!/bin/bash
j=0
for ipt in $(iptables -L FORWARD -n);do
let "j+=1"
#echo " $j $ipt"
if test $j -eq 10 ;then
if [ "$ipt" == "FWBLACKLIST" ] ; then
echo "FWBLACKLIST found"
echo "clear FWBLACKLIST chain"
iptables -F FWBLACKLIST
else
echo "FWBLACKLIST Not found"
iptables -N FWBLACKLIST
iptables -I FORWARD 1 -j FWBLACKLIST
fi
echo " 10= $ipt"
fi
done

file=blacklist
if [[ -e $file ]] ; then echo "$file exists"
j=0
for i in $(cat $file) ; do
iptables -A FWBLACKLIST -s $i -j DROP
let "j+=1"
echo "blacklist $j iptables -A FWBLACKLIST -s $i -j DROP"
done
else
echo "$file NOT exists"
fi


exit 0
vad123123123
 
Сообщений: 7
Зарегистрирован: 20 авг 2011, 07:30

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение Sindrom » 28 сен 2011, 12:01

Цены Вам нет :-) файл с ип как дожен называться? Можете в кратце описать как он работает - как ip в файлик попадают?
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение vad123123123 » 15 окт 2011, 09:23

Слегка подправленный скрипт:
Код: выделить все
#!/bin/bash

j=0
for ipt in $(iptables -L FORWARD -n);do
   let "j+=1"
   #echo " $j  $ipt"
   if test $j  -eq 10 ;then
      if [ "$ipt" == "FWBLACKLIST" ] ; then
         echo "FWBLACKLIST found"
         echo "clear FWBLACKLIST chain"
         iptables -F  FWBLACKLIST
      else
         echo "FWBLACKLIST Not found"
         iptables -N  FWBLACKLIST
         iptables -I FORWARD 1 -j FWBLACKLIST
      fi
      echo " 10= $ipt"
      break
   fi   
done

file=blacklist
if [[ -e $file ]] ; then echo "$file exists"
   j=0
    for i in $(cat $file) ;    do
      iptables -A FWBLACKLIST -s $i -j DROP
      let "j+=1"
      echo "blacklist $j  iptables -A FWBLACKLIST -s $i -j DROP"
    done
else
 echo "$file NOT exists"
fi
iptables-save > iptablsave

exit 0


Скрипт, который копирует на ефв:

Код: выделить все
scp /home/vad/Firewall/blacklist root@192.168.0.15:~/
scp /home/vad/tmp/sc1 root@192.168.0.15:~/
ssh root@192.168.0.15
# тут запускаем скрипт ./sc1
# выходим из  ssh exit
scp  root@192.168.0.15:iptablsave /home/vad/tmp/iptablsave


где
/home/vad/Firewall/blacklist - список ип, вида
31.44.184.245
31.44.184.50
41.72.214.82

/home/vad/tmp/sc1 - файл скрипта , формирующего правила iptables

blacklist формируется программой на паскале(лазарус), она запускается по крону и парсит лог-файл довекота,
ищет строки с unknown user и берет из нее ип, потом проверяет на дубликат в blacklist и если нету-добавляет.
vad123123123
 
Сообщений: 7
Зарегистрирован: 20 авг 2011, 07:30

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение Sindrom » 15 окт 2011, 13:05

Идея такого взаимодействия серверов просто замечательная, на мой взгляд. Я бы ещё попробывал реализовать связку efw - fail2ban. Тогда можно как банить, так и разбанивать IP (т.к. бывают случаи, что пользователи вводят неправильный пароль много раз - соотв. попадают в бан). При такой схеме получается многорубежная система защиты (EFW/Snort -> Server/fail2ban -> Fail2ban/EFW).
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение vad123123123 » 19 окт 2011, 09:01

Может быть кто и осилит подобную связку, подождем.
Свою конкретную проблему помаленьку решаю,и сильно углубляться пока нет возможности.
vad123123123
 
Сообщений: 7
Зарегистрирован: 20 авг 2011, 07:30

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение ASD » 05 янв 2012, 10:01

И вдогонку, есть ли у EFW возможность пускать извне на определённый порт сервера только определённую группу айпишников? Например сервер на 192.168.1.123, форвардится порт 333, и форвардиться он может только с внешних айпишников 213.45.67.34 и 154.24.35.134
ASD
 
Сообщений: 6
Зарегистрирован: 05 янв 2012, 09:50

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение Sindrom » 05 янв 2012, 12:29

Напрямую через веб интерфейс я такую возможность не видел (2.4, 2.4.1), возможно есть в 2.5. При большом желании наверное можно напрямую через iptables добавить.
/dev/urandom
Teamviewer help
Аватар пользователя
Sindrom
 
Сообщений: 1098
Зарегистрирован: 12 янв 2011, 10:45

Re: Как правильно "закрыть" сервер от внешних вторжений

Сообщение xyn » 25 июл 2014, 21:56

Добрый вечер, а кто snort пользовался? Что полезного можно в нем настроить, какие правила включить на запрет? Попробовал запретить торренты в версии 3.0 - работает! в 2.5.1 не работало...
xyn
 
Сообщений: 17
Зарегистрирован: 13 мар 2012, 14:47

Пред.След.

Вернуться в Межсетевой экран

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
Каталог@Mail.ru - каталог ресурсов интернет