banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix sao iptable không block được ip ?  XML
  [Question]   sao iptable không block được ip ? 04/09/2012 04:07:31 (+0700) | #1 | 269008
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
Tình hình là mình xài iptable, và đây là dãi ip mình block trong iptable


# Generated by iptables-save v1.4.7 on Sat May 26 14:00:17 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [535:219222]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 61.0.0.0/8 -j DROP
-A INPUT -s 69.0.0.0/8 -j DROP
-A INPUT -s 84.0.0.0/8 -j DROP
-A INPUT -s 93.0.0.0/8 -j DROP
-A INPUT -s 111.0.0.0/8 -j DROP
-A INPUT -s 115.0.0.0/8 -j DROP
-A INPUT -s 116.0.0.0/8 -j DROP
-A INPUT -s 117.0.0.0/8 -j DROP
-A INPUT -s 118.0.0.0/8 -j DROP
-A INPUT -s 119.0.0.0/8 -j DROP
-A INPUT -s 120.0.0.0/8 -j DROP
-A INPUT -s 121.0.0.0/8 -j DROP
-A INPUT -s 122.0.0.0/8 -j DROP
-A INPUT -s 123.0.0.0/8 -j DROP
-A INPUT -s 124.0.0.0/8 -j DROP
-A INPUT -s 125.0.0.0/8 -j DROP
-A INPUT -s 126.0.0.0/8 -j DROP
-A INPUT -s 169.0.0.0/8 -j DROP
-A INPUT -s 195.0.0.0/8 -j DROP
-A INPUT -s 200.0.0.0/8 -j DROP
-A INPUT -s 202.0.0.0/8 -j DROP
-A INPUT -s 203.0.0.0/8 -j DROP
-A INPUT -s 210.0.0.0/8 -j DROP
-A INPUT -s 211.0.0.0/8 -j DROP
-A INPUT -s 218.0.0.0/8 -j DROP
-A INPUT -s 219.0.0.0/8 -j DROP
-A INPUT -s 220.0.0.0/8 -j DROP
-A INPUT -s 221.0.0.0/8 -j DROP
-A INPUT -s 222.0.0.0/8 -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat May 26 14:00:17 2012
# Generated by iptables-save v1.4.7 on Sat May 26 14:00:17 2012
*mangle
smilieREROUTING ACCEPT [13673:1180925]
:INPUT ACCEPT [13673:1180925]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10898:4642296]
smilieOSTROUTING ACCEPT [10898:4642296]
COMMIT
# Completed on Sat May 26 14:00:17 2012
# Generated by iptables-save v1.4.7 on Sat May 26 14:00:17 2012 



nhưng mình remote control bằng 1 máy windows từ ip 120.4.30.242 vào server mình, vào web và ssh ngược vào server vẫn truy cập được smilie

liệu mình có cài iptable sai gì chăng?
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 04/09/2012 05:14:06 (+0700) | #2 | 269009
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [535:219222]


Nguyên nhân nằm ở màu đỏ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 04/09/2012 10:56:44 (+0700) | #3 | 269017
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
thanks bác conmale, mình chưa thông lắm vì không rành về iptable cho lắm nhưng cũng hiểu được vấn đề, đọc nãy giờ thì thấy mình setup hơi bị bậy vì lúc trước cứ thấy gì hay nên băm vào iptable nhưng bây giờ mới thấy là bậy quá

để mình tiếp tục chỉnh sửa, nếu có gì thì hỏi tiếp ^_^
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 04/09/2012 12:18:02 (+0700) | #4 | 269018
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
nhờ bác conmale check lại dùm mình, mình đã update lại thành drop cho input/forward/output [0:0], mà hình như thằng centos nó generate ra tùm lum cho nên vẫn chưa block được, vậy mình có phải xoá mấy cái đằng trước kia không? mình đã flush iptables trước khi build lại cái mới này.

# Generated by iptables-save v1.4.7 on Mon Sep 3 23:12:45 2012
*nat
:PREROUTING ACCEPT [4888:224073]
:POSTROUTING ACCEPT [401:27211]
:OUTPUT ACCEPT [473:32449]
COMMIT
# Completed on Mon Sep 3 23:12:45 2012
# Generated by iptables-save v1.4.7 on Mon Sep 3 23:12:45 2012
*mangle
:PREROUTING ACCEPT [849022:827264756]
:INPUT ACCEPT [848975:827262688]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [543627:34974377]
:POSTROUTING ACCEPT [539779:34777639]
COMMIT
# Completed on Mon Sep 3 23:12:45 2012
# Generated by iptables-save v1.4.7 on Mon Sep 3 23:12:45 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m limit --limit 25/min --limit-burst 100 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 10000 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -s 61.0.0.0/8 -j DROP
-A INPUT -s 69.0.0.0/8 -j DROP
-A INPUT -s 84.0.0.0/8 -j DROP
-A INPUT -s 93.0.0.0/8 -j DROP
-A INPUT -s 111.0.0.0/8 -j DROP
-A INPUT -s 115.0.0.0/8 -j DROP
-A INPUT -s 116.0.0.0/8 -j DROP
-A INPUT -s 117.0.0.0/8 -j DROP
-A INPUT -s 118.0.0.0/8 -j DROP
-A INPUT -s 119.0.0.0/8 -j DROP
-A INPUT -s 120.0.0.0/8 -j DROP
-A INPUT -s 121.0.0.0/8 -j DROP
-A INPUT -s 122.0.0.0/8 -j DROP
-A INPUT -s 123.0.0.0/8 -j DROP
-A INPUT -s 124.0.0.0/8 -j DROP
-A INPUT -s 125.0.0.0/8 -j DROP
-A INPUT -s 126.0.0.0/8 -j DROP
-A INPUT -s 169.0.0.0/8 -j DROP
-A INPUT -s 195.0.0.0/8 -j DROP
-A INPUT -s 200.0.0.0/8 -j DROP
-A INPUT -s 202.0.0.0/8 -j DROP
-A INPUT -s 203.0.0.0/8 -j DROP
-A INPUT -s 210.0.0.0/8 -j DROP
-A INPUT -s 211.0.0.0/8 -j DROP
-A INPUT -s 218.0.0.0/8 -j DROP
-A INPUT -s 219.0.0.0/8 -j DROP
-A INPUT -s 220.0.0.0/8 -j DROP
-A INPUT -s 221.0.0.0/8 -j DROP
-A INPUT -s 222.0.0.0/8 -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 10000 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Mon Sep 3 23:12:45 2012
 
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 04/09/2012 14:11:54 (+0700) | #5 | 269024
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Nên đưa 1 mớ cái IP ở INPUT cần DROP lên phía trên mấy cái --dport ... -j ACCEPT
nếu đã chắc chắn sử dụng luật này
Code:
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

thì nên gộp nó lại cho dễ nhìn:

Code:
-A INPUT -i eth0 -p tcp -m tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 07/09/2012 06:19:11 (+0700) | #6 | 269119
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
đây là iptables hiện tại của mình,

# Generated by iptables-save v1.4.7 on Thu Sep 6 17:13:16 2012
*nat
:PREROUTING ACCEPT [7:518]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [6:2386]
COMMIT
# Completed on Thu Sep 6 17:13:16 2012
# Generated by iptables-save v1.4.7 on Thu Sep 6 17:13:16 2012
*mangle
:PREROUTING ACCEPT [284:17857]
:INPUT ACCEPT [284:17857]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [194:45919]
:POSTROUTING ACCEPT [181:39025]
COMMIT
# Completed on Thu Sep 6 17:13:16 2012
# Generated by iptables-save v1.4.7 on Thu Sep 6 17:13:16 2012
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -s 61.0.0.0/8 -j DROP
-A INPUT -s 69.0.0.0/8 -j DROP
-A INPUT -s 84.0.0.0/8 -j DROP
-A INPUT -s 93.0.0.0/8 -j DROP
-A INPUT -s 111.0.0.0/8 -j DROP
-A INPUT -s 115.0.0.0/8 -j DROP
-A INPUT -s 116.0.0.0/8 -j DROP
-A INPUT -s 117.0.0.0/8 -j DROP
-A INPUT -s 118.0.0.0/8 -j DROP
-A INPUT -s 119.0.0.0/8 -j DROP
-A INPUT -s 120.0.0.0/8 -j DROP
-A INPUT -s 121.0.0.0/8 -j DROP
-A INPUT -s 122.0.0.0/8 -j DROP
-A INPUT -s 123.0.0.0/8 -j DROP
-A INPUT -s 124.0.0.0/8 -j DROP
-A INPUT -s 125.0.0.0/8 -j DROP
-A INPUT -s 126.0.0.0/8 -j DROP
-A INPUT -s 169.0.0.0/8 -j DROP
-A INPUT -s 195.0.0.0/8 -j DROP
-A INPUT -s 200.0.0.0/8 -j DROP
-A INPUT -s 202.0.0.0/8 -j DROP
-A INPUT -s 203.0.0.0/8 -j DROP
-A INPUT -s 210.0.0.0/8 -j DROP
-A INPUT -s 211.0.0.0/8 -j DROP
-A INPUT -s 218.0.0.0/8 -j DROP
-A INPUT -s 219.0.0.0/8 -j DROP
-A INPUT -s 220.0.0.0/8 -j DROP
-A INPUT -s 221.0.0.0/8 -j DROP
-A INPUT -s 222.0.0.0/8 -j DROP
-A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset --connlimi$
-A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000
-A INPUT -p tcp -m tcp -m multiport -m state -i eth0 --state ESTABLISHED -j ACCEPT --sports 80,443
-A INPUT -p udp -m udp -i eth0 --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000
-A OUTPUT -p tcp -m tcp -m multiport -m state -o eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443
-A OUTPUT -p udp -m udp -o eth0 --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 123 -j ACCEPT
COMMIT
# Completed on Thu Sep 6 17:13:16 2012 



mọi thứ hoạt động tốt, nguyên ngày nay dừng được brute force ssh từ china vô server của mình.
mình muốn hỏi cái này. làm sao để dời các dòng theo thứ tự mình muốn ? mình xài nano để edit xong rồi service iptables save, save xong thì thứ tự vẫn như trước khi save.
Và, mình chưa hiểu lắm về cách sắp sếp thứ tự trong iptables, cái nào quan trọng hơn cái nào? cái nào cần đi trước? cái nào đi sau?

ah còn cái nữa, khi dùng iptables trên, mấy cái traceroute, whois, ping php script của mình hết xài được :( permission not allowed hay socket error gì đó. làm sao để giải quyết được vấn đề này?
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 07/09/2012 08:01:13 (+0700) | #7 | 269120
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Không cần thiết phải DROP các ip china như vậy, vận dụng các rule mà bác conmale đã giới thiệu ở mấy bài trước dùng -hitcount, -update seconds, -set -name ... để chặn việc brute force nếu phạm vi và nếu tái phạm sẽ bị drop dài dài, tớ thường đặt hitcount 3, bởi vì xác xuất bấm sai pass cho là 1 lần, lần thứ hai sẽ phải đúng, và ấn định thời gian DROP nó tuỳ cậu

blackwidow wrote:
mình xài nano để edit xong rồi service iptables save, save xong thì thứ tự vẫn như trước khi save. 


cái này là do sau khi edit xong, bồ dùng service iptables save thì đuơng nhiên là sẽ trả về rule như trước.
để làm được điều này, bồ nên làm như sau:
Nếu file rule đặt ở vị trí nào đó mà không edit thẳng lên file iptables ấn định thì bồ dùng lệnh:

Code:
iptables-restore < <path file rule>

sau đó dùng service iptables save

Nếu bồ edit thẳng lên file iptables và save lại thì dùng lệnh:

Code:
service iptables restart



Để tạo được 1 rule theo thứ tự vị trí đặt ta thực hiện như sau:

Code:
iptables -I <CHAIN> <số vị trí đặt> -p .........


Mình không thích dung nano và nano tớ cũng đã không dùng nó từ lâu, tớ dùng vi thôi, và để move từ hàng này sang hàng khác trong vi thì ta gõ như sau (bấm nút ESC trước cho chắc):

Code:
:<số hàng hoặc nhóm hàng cần chuyển>v<số vị trí đặt>


ping không được là vì bồ chưa allow icmp

Code:
iptables -A <CHAIN> -p icmp -j ACCEPT



[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 07/09/2012 09:06:20 (+0700) | #8 | 269124
[Avatar]
tarzanvip
Member

[Minus]    0    [Plus]
Joined: 17/09/2004 16:54:06
Messages: 50
Offline
[Profile] [PM]

blackwidow wrote:


Và, mình chưa hiểu lắm về cách sắp sếp thứ tự trong iptables, cái nào quan trọng hơn cái nào? cái nào cần đi trước? cái nào đi sau? 

Bạn nên đọc các Case về Iptables mà anh conmale đã viết để hiểu rõ hơn.
Theo mình thì bạn nên thiết lập rules cho Iptables bằng script thì sẽ linh hoạt hơn nhiều.

Iptables sẽ duyệt các rules theo thứ tự từ trên xuống dưới, nên cái nào quan trọng hơn và cần ưu tiên thì bạn đặt trước.
Ví dụ: Trong trường hợp server bị DoS, băng thông bị nghẽn, nếu như bạn không ưu tiên cho dịch vụ SSH thì rất khó chịu khi remote lên server để làm việc.

blackwidow wrote:

ah còn cái nữa, khi dùng iptables trên, mấy cái traceroute, whois, ping php script của mình hết xài được :( permission not allowed hay socket error gì đó. làm sao để giải quyết được vấn đề này? 


Bạn nên tìm hiểu xem traceroute, whois làm việc ở giao thức và cổng nào để tạo rules mở nó ra cho phù hợp.
Với ping thì bạn cũng cần tìm hiểu các TYPE của ICMP để tạo rules cho chặt chẽ.

Thân!
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 10/09/2012 03:29:38 (+0700) | #9 | 269251
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
tình hình là mình đang xài cài này để block ssh brute force

# Generated by iptables-save v1.4.7 on Sat Sep 8 19:26:10 2012
*nat
:PREROUTING ACCEPT [5:268]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [6:1068]
COMMIT
# Completed on Sat Sep 8 19:26:10 2012
# Generated by iptables-save v1.4.7 on Sat Sep 8 19:26:10 2012
*mangle
:PREROUTING ACCEPT [380:23298]
:INPUT ACCEPT [380:23298]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [274:48089]
:POSTROUTING ACCEPT [268:47021]
COMMIT
# Completed on Sat Sep 8 19:26:10 2012
# Generated by iptables-save v1.4.7 on Sat Sep 8 19:26:10 2012
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p tcp -m tcp -m state -m recent -i eth0 --dport 22 --state NEW --set --name SSH --rsource
-A INPUT -p tcp -m tcp -m state -m recent -i eth0 --dport 22 --state NEW -j DROP --update --seconds 300 --hitcount 4 --rttl --name SSH --rsource

-A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset --connlimit-above 4 --connlimit-mask 32
-A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000
-A INPUT -p tcp -m tcp -m multiport -m state -i eth0 --state ESTABLISHED -j ACCEPT --sports 80,443
-A INPUT -p udp -m udp -m multiport -i eth0 -j ACCEPT --sports 123,53
-A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000
-A OUTPUT -p tcp -m tcp -m multiport -m state -o eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443
-A OUTPUT -p udp -m udp -m multiport -o eth0 -j ACCEPT --dports 123,53
COMMIT
# Completed on Sat Sep 8 19:26:10 2012 


nhưng vẫn bị nhè nhẹ

Sep 9 08:58:25 xxxxxxxxx sshd[20141]: Address 64.34.179.206 maps to server1.aclutx.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Sep 9 08:58:25 xxxxxxxxx sshd[20141]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.34.179.206 user=root
Sep 9 08:58:27 xxxxxxxxx sshd[20141]: Failed password for root from 64.34.179.206 port 35164 ssh2
Sep 9 08:58:27 xxxxxxxxx sshd[20142]: Received disconnect from 64.34.179.206: 11: Bye Bye
Sep 9 08:58:28 xxxxxxxxx sshd[20143]: Address 64.34.179.206 maps to server1.aclutx.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Sep 9 08:58:28 xxxxxxxxx sshd[20143]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.34.179.206 user=root
Sep 9 08:58:28 xxxxxxxxx sshd[20145]: Address 64.34.179.206 maps to server1.aclutx.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Sep 9 08:58:28 xxxxxxxxx sshd[20145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.34.179.206 user=root
Sep 9 08:58:30 xxxxxxxxx sshd[20143]: Failed password for root from 64.34.179.206 port 39604 ssh2
Sep 9 08:58:30 xxxxxxxxx sshd[20144]: Received disconnect from 64.34.179.206: 11: Bye Bye
Sep 9 08:58:30 xxxxxxxxx sshd[20145]: Failed password for root from 64.34.179.206 port 35938 ssh2
Sep 9 08:58:31 xxxxxxxxx sshd[20146]: Received disconnect from 64.34.179.206: 11: Bye Bye
Sep 9 11:02:43 xxxxxxxxx sshd[21616]: Address 173.231.12.116 maps to 173-231-12-116.hosted.static.webnx.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Sep 9 11:02:43 xxxxxxxxx sshd[21616]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.231.12.116 user=root
Sep 9 11:02:45 xxxxxxxxx sshd[21616]: Failed password for root from 173.231.12.116 port 54261 ssh2
Sep 9 11:02:45 xxxxxxxxx sshd[21617]: Received disconnect from 173.231.12.116: 11: Bye Bye
Sep 9 11:02:46 xxxxxxxxx sshd[21618]: Address 173.231.12.116 maps to 173-231-12-116.hosted.static.webnx.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Sep 9 11:02:46 xxxxxxxxx sshd[21618]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.231.12.116 user=root
Sep 9 11:02:46 xxxxxxxxx sshd[21620]: Address 173.231.12.116 maps to 173-231-12-116.hosted.static.webnx.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Sep 9 11:02:46 xxxxxxxxx sshd[21620]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.231.12.116 user=root
Sep 9 11:02:47 xxxxxxxxx sshd[21618]: Failed password for root from 173.231.12.116 port 60095 ssh2
Sep 9 11:02:47 xxxxxxxxx sshd[21619]: Received disconnect from 173.231.12.116: 11: Bye Bye
Sep 9 11:02:48 xxxxxxxxx sshd[21620]: Failed password for root from 173.231.12.116 port 54863 ssh2
Sep 9 11:02:48 xxxxxxxxx sshd[21621]: Received disconnect from 173.231.12.116: 11: Bye Bye 


nhưng có vẻ 2 dòng iptables trên không xi nhê, vd như thằng 64.34.179.206, lúc 08:58:27 có 12 lần login = root, nhưng iptables luật là 4 lần 5 phút. Mình coi trong ssh server config của mình chỉ limit 6 lần login không thành công. Mình thử login bình thường với password sai liên tục thì được đúng 6 lần của ssh config, như vậy thì iptables không hoạt động đúng. Mình thắc mắc là tại sao brute force được nhiều như vậy trong thời gian ngắn trong khi ssh config chỉ cho 6?
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 10/09/2012 08:34:57 (+0700) | #10 | 269256
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@blackwidow
Đếm đi đếm lại tui thấy cũng chỉ có 3 lần 64.34.179.206, lúc 08:58:27 login?

1 lần login fail ssh cho ra vài dòng log nên chắc bạn đếm dòng log ?
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 10/09/2012 12:36:10 (+0700) | #11 | 269264
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Tạo 1 CHAIN mới tên là IN_SSH:
Code:
iptables -N IN_SSH

Thay 2 rule hàng 1 và 2 của INPUT thành:
Code:
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 22 -j IN_SSH

Tạo thêm 3 rule vào CHAIN IN_SSH:
Code:
iptables -A IN_SSH -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A IN_SSH -m recent --update --seconds 300 --hitcount 4 --name SSH --rsource -j DROP
iptables -A IN_SSH -m recent --set --name SSH --rsource -j ACCEPT

tại rule 4 INPUT theo CHAIN INPUT cũ bỏ đi port 22 ==>
Code:
-A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443,10000


Muốn chắc chắn hơn thì nên tạo key ssh cho đỡ lo
Hoặc tham khảo thêm bài này:
/hvaonline/posts/list/42475.html
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 12/09/2012 05:51:24 (+0700) | #12 | 269306
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
mình đang update cái iptables của mình & đang làm cái script iptables, wow xài iptables bằng script quá tiện so với bỏ vô từng dòng & giải quyết được vấn đề thứ tự của mình smilie cám ơn các bác rất nhiều, từ hổm rày mình học được rất nhiều thêm về iptables tuy rằng còn rất nhiều thứ chưa hiểu x_x

bác kakarottbatdong, mình có cần nhất thiết bỏ mấy cái luật chặn ssh vô 1 CHAIN mới như vậy hay cho nó vô chung mấy cái luật kia cũng được?

Và hình như lúc setup ssh server tự nó tạo rsa key cho mình rồi mà?

[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 12/09/2012 07:40:18 (+0700) | #13 | 269308
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Thật ra việc phân bổ hợp lý để tiện lợi cho việc chỉnh sửa sau này, nhìn đỡ rối mắt mà thôi
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 12/09/2012 08:52:58 (+0700) | #14 | 269310
[Avatar]
tarzanvip
Member

[Minus]    0    [Plus]
Joined: 17/09/2004 16:54:06
Messages: 50
Offline
[Profile] [PM]

blackwidow wrote:


hình như lúc setup ssh server tự nó tạo rsa key cho mình rồi mà?

 


Cái này dính thói quen xấu thứ 7 mà anh Conmale đã nói đấy nhé. smilie
Code:
/hvaonline/posts/list/42715.html
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 12/09/2012 09:56:02 (+0700) | #15 | 269313
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
đây là iptables hiện tại của mình

# Generated by iptables-save v1.4.7 on Tue Sep 11 20:38:31 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:LOGNDROP - [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOGNDROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j LOGNDROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOGNDROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP
-A INPUT -f -j LOGNDROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOGNDROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGNDROP
-A INPUT -m state --state INVALID -j LOGNDROP
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH --rsource -j LOGNDROP
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 25/min --limit-burst 100 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/sec --limit-burst 50 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,10000 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp -m multiport --sports 123,53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j LOGNDROP
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOGNDROP
-A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP
-A OUTPUT -f -j LOGNDROP
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOGNDROP
-A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGNDROP
-A OUTPUT -m state --state INVALID -j LOGNDROP
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j LOGNDROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443,10000 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp -m multiport --dports 123,53 -j ACCEPT
-A LOGNDROP -j LOG --log-prefix "LOGNDROP: "
-A LOGNDROP -j DROP
COMMIT
# Completed on Tue Sep 11 20:38:31 2012
# Generated by iptables-save v1.4.7 on Tue Sep 11 20:38:31 2012
*mangle
:PREROUTING ACCEPT [1451511:74777798]
:INPUT ACCEPT [1451511:74777798]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [372157:1486000721]
:POSTROUTING ACCEPT [371275:1485305799]
COMMIT
# Completed on Tue Sep 11 20:38:31 2012
# Generated by iptables-save v1.4.7 on Tue Sep 11 20:38:31 2012
*nat
:PREROUTING ACCEPT [3416:155332]
:POSTROUTING ACCEPT [673:44245]
:OUTPUT ACCEPT [804:54731]
COMMIT
# Completed on Tue Sep 11 20:38:31 2012 


còn đây là script mình chạy


#!/bin/bash
#
#############################
# FIREWALL 1.0
# 09/11/2012
#
# How to make the script executable
# chmod +x firewall
#
# edit our script and run it from the shell with the following command
# ./firewall
#############################

#############################
# Flush all current rules from iptables
iptables -F
#############################

#############################
# Set default policies for INPUT, FORWARD and OUTPUT chains
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#############################

#############################
# LOGDROPPER
iptables -N LOGNDROP > /dev/null 2> /dev/null
iptables -F LOGNDROP
iptables -A LOGNDROP -j LOG --log-prefix "LOGNDROP: "
iptables -A LOGNDROP -j DROP
#############################

#############################
# force syn packets check, make sure new incoming tcp connections are syn packets; otherwise we need to drop them
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOGNDROP
#############################

#############################
# drop invalid syn packets
iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j LOGNDROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOGNDROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP
iptables -A OUTPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j LOGNDROP
iptables -A OUTPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOGNDROP
iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP
#############################

#############################
# drop packets with incoming fragments. this attack result into linux server panic such data loss
iptables -A INPUT -f -j LOGNDROP
iptables -A OUTPUT -f -j LOGNDROP
#############################

#############################
# xmas packets
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOGNDROP
iptables -A OUTPUT -p tcp --tcp-flags ALL ALL -j LOGNDROP
#############################

#############################
# drop all null packets
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOGNDROP
iptables -A OUTPUT -p tcp --tcp-flags ALL NONE -j LOGNDROP
#############################

#############################
# drop invalid
iptables -A INPUT -m state --state INVALID -j LOGNDROP
iptables -A OUTPUT -m state --state INVALID -j LOGNDROP
#############################

#############################
# disable outgoign icmp request
iptables -A OUTPUT -p icmp --icmp-type echo-request -j LOGNDROP
#############################

#############################
# prevent ssh attacks
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOGNDROP
#############################

#############################
# Limit NEW traffic on port 80
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
#############################

#############################
# Limit established traffic
iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
#############################

#############################
# allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#############################

#############################
# allow server tcp ports 22,80,443,10000
iptables -A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000
iptables -A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000
#############################

#############################
# allow tcp ports 80,443 for yum update
iptables -A INPUT -p tcp -m tcp -m multiport -m state -i eth0 --state ESTABLISHED -j ACCEPT --sports 80,443
iptables -A OUTPUT -p tcp -m tcp -m multiport -m state -o eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443
#############################

#############################
# allow udp ports 123 ntp (network time protocol), 53 dns (domain name service)
iptables -A INPUT -p udp -m udp -m multiport -i eth0 -j ACCEPT --sports 123,53
iptables -A OUTPUT -p udp -m udp -m multiport -o eth0 -j ACCEPT --dports 123,53
#############################

#############################
# Save settings
/sbin/service iptables save
#############################

#############################
# List rules
iptables -L -v
#############################
 


các bác thấy có gì mình còn sai xót thì xin góp ý, trong vài ngày tới mình sẽ cố gắng mở thêm mấy cái port để chạy traceroute & ping = php, vì sau khi xài iptables mấy cái ping, whois, traceroute php script chưa chạy được vì chưa có thời gian ngâm cứu.
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 13/09/2012 10:47:24 (+0700) | #16 | 269353
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
có 1 vấn đề này, nhờ các bác góp ý, cái server trên là centos chạy trên windows xp bằng vmware, nối trực tiếp vô modem ra internet. Không có cái gì bảo vệ thằng xp hết trừ cái firewall có sẵn của xp.

Mình rất muốn cài centos thẳng lên cái box đó nhưng mình vẫn chưa tự tin cho lắm vì nếu cài thẳng lên box nếu bị fuked up cái gì đó thì phải lên trực tiếp cái box để sửa. mình xài vmware như vậy nếu có gì hư thì còn vnc vô xp để sửa thằng centos được còn không thì restore từ snapshot của vnware.

các bác nghĩ xp (tắt hết mấy services không quan trọng, và không chạy gì trừ vmware) có khả năng đứng ra thẳng internet như vậy không? mình vẫn thích vmware vì rất tiện cho mình. Mình đang nghĩ mua thêm cái router nào đó rồi cài dd wrt vô, mình sẽ nat = router và dd wrt cũng hỗ trợ iptables. Như vậy thì ít ra sẽ có thêm 1 cái firewall trước khi vô xp.
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 14/09/2012 14:49:47 (+0700) | #17 | 269390
[Avatar]
No. 47
Member

[Minus]    0    [Plus]
Joined: 26/08/2009 02:44:01
Messages: 32
Location: ••••••••••
Offline
[Profile] [PM]

blackwidow wrote:
có 1 vấn đề này, nhờ các bác góp ý, cái server trên là centos chạy trên windows xp bằng vmware, nối trực tiếp vô modem ra internet. Không có cái gì bảo vệ thằng xp hết trừ cái firewall có sẵn của xp.

Mình rất muốn cài centos thẳng lên cái box đó nhưng mình vẫn chưa tự tin cho lắm vì nếu cài thẳng lên box nếu bị fuked up cái gì đó thì phải lên trực tiếp cái box để sửa. mình xài vmware như vậy nếu có gì hư thì còn vnc vô xp để sửa thằng centos được còn không thì restore từ snapshot của vnware.

các bác nghĩ xp (tắt hết mấy services không quan trọng, và không chạy gì trừ vmware) có khả năng đứng ra thẳng internet như vậy không? mình vẫn thích vmware vì rất tiện cho mình. 


Thay vì dùng Windows XP là host thì bạn chuyển sang CentOS hoặc Windows Server 2012 làm host rồi đưa VMWare Server chạy CentOS lại như vậy an toàn và tiện lợi hơn cho bạn.

Một giải pháp khác đó là dùng FreeBSD và Jail thay thế (không chắc, chỉ nghe người khác nói).
"Sự vô tâm rất gần vô cảm, sự vô cảm rất gần sự độc ác"
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 14/09/2012 17:12:00 (+0700) | #18 | 269394
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
nếu như mình cài centos lên box đó, rồi vmware. Thì những file của centos guest của vmware windows tạo ra có phải convert qua host centos mới không? hay chỉ đơn giản là copy qua thôi?
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 14/09/2012 17:14:39 (+0700) | #19 | 269395
[Avatar]
No. 47
Member

[Minus]    0    [Plus]
Joined: 26/08/2009 02:44:01
Messages: 32
Location: ••••••••••
Offline
[Profile] [PM]

blackwidow wrote:
nếu như mình cài centos lên box đó, rồi vmware. Thì những file của centos guest của vmware windows tạo ra có phải convert qua host centos mới không? hay chỉ đơn giản là copy qua thôi? 

Bạn dùng VMWare thì chỉ việc sao chép cả thư mục máy ảo CentOS từ Windows XP host sang CentOS host thôi.
"Sự vô tâm rất gần vô cảm, sự vô cảm rất gần sự độc ác"
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 23/09/2012 05:55:09 (+0700) | #20 | 269652
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
mình đang xài laptop chạy ubuntu, mình muốn có iptables cho 2 interfaces là eth0 & wlan0 cùng 1 lúc nhưng không biết phải làm sao.

nếu mình chạy script riêng cho eth0 hay wlan0 thì ok, nhưng như vậy bất tiện quá nếu mỗi lần xài wireless hay cable như vậy thì phải chạy lại cái script cho thằng đó.

mình đại khái nhập 2 cái interfaces vô như vầy


#!/bin/bash

itf="eth0,wlan0"

# Set default policies for INPUT, FORWARD and OUTPUT chains
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

-A INPUT -i $itf -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -i $itf -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH --rsource -j LOGNDROP

nhưng không được, nếu để itf="eth0" riêng hay itf="wlan0" riêng thì chạy ok, nhưng khi nhập chung lại thì iptables vẫn load/save/run, nhưng lúc xài mấy cổng thì không được, cái iptables trên làm vd thôi chứ không phải cái hoàn chỉnh mình xài, chút nữa về nhà mình update lại.
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 24/09/2012 08:46:59 (+0700) | #21 | 269668
lion1102
Member

[Minus]    0    [Plus]
Joined: 13/08/2012 22:42:16
Messages: 15
Offline
[Profile] [PM]
Bác có thể dùng 2 lệnh:

Code:
IF=`/sbin/route | grep -i 'default' | awk '{print $8}'`
IP=`/sbin/ifconfig $IF |  grep "inet addr" | awk -F":" '{print $2}' | awk '{print $1}'`


để xác định card mạng nào đang sử dụng để ra internet & IP của card mạng đó.
Sau đấy viết rule thì thêm biến $IF & $IP.

Bác tham khảo thêm các case về Iptables của bác conmale
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 24/09/2012 16:41:27 (+0700) | #22 | 269676
tga
Member

[Minus]    0    [Plus]
Joined: 05/07/2012 09:29:22
Messages: 2
Offline
[Profile] [PM]
sao em mới cho
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP  

thì tất cả các cổng đều bị đóng hết smilie lại phải stop iptables mới vào lại đc smilie
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 25/09/2012 03:21:59 (+0700) | #23 | 269685
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]

tga wrote:
sao em mới cho
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP  

thì tất cả các cổng đều bị đóng hết smilie lại phải stop iptables mới vào lại đc smilie 


vì bạn drop hết rồi, mặc định là ACCEPT, nếu bạn DROP hết như vậy thì bạn phải mở từng port riêng mà bạn cần xài. bạn xem lại cái iptables & script hoàn chỉnh mình chạy trên server của mình ở trên, post 4-5 gì đó.

# allow server tcp ports 22,80,443,10000
iptables -A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000
iptables -A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 02/10/2012 14:19:48 (+0700) | #24 | 269841
yeuvo
Member

[Minus]    0    [Plus]
Joined: 11/07/2012 04:21:57
Messages: 11
Offline
[Profile] [PM]
Cái script này okie nhưng mỗi tội ko log FTP được,check log thì thấy FTP session open rồi lại close .
[Up] [Print Copy]
  [Question]   sao iptable không block được ip ? 04/10/2012 11:18:08 (+0700) | #25 | 269887
[Avatar]
blackwidow
Elite Member

[Minus]    0    [Plus]
Joined: 12/08/2003 05:55:35
Messages: 581
Offline
[Profile] [PM]
bạn cần ftp ra server bên ngoài hay ftp vô server của bạn? cái server của mình không chạy ftp mà chạy sftp vì nghe nói ftp có rất nhiều bug & dễ bị hack.

nếu cái server của bạn chỉ có bạn sài thì cứ dùng ftp client bình thường của bạn với ssh port của bạn.

nếu bạn muốn mở thêm port 21 thì add mấy dòng này vô cái script của mình


# Allow FTP connections @ port 21
$IPT -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow Active FTP Connections
$IPT -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

# Allow Passive FTP Connections
$IPT -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|