<![CDATA[Latest posts for the topic "sao iptable không block được ip ?"]]> /hvaonline/posts/list/24.html JForum - http://www.jforum.net sao iptable không block được ip ? # Generated by iptables-save v1.4.7 on Sat May 26 14:00:17 2012 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [535:219222] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -s 61.0.0.0/8 -j DROP -A INPUT -s 69.0.0.0/8 -j DROP -A INPUT -s 84.0.0.0/8 -j DROP -A INPUT -s 93.0.0.0/8 -j DROP -A INPUT -s 111.0.0.0/8 -j DROP -A INPUT -s 115.0.0.0/8 -j DROP -A INPUT -s 116.0.0.0/8 -j DROP -A INPUT -s 117.0.0.0/8 -j DROP -A INPUT -s 118.0.0.0/8 -j DROP -A INPUT -s 119.0.0.0/8 -j DROP -A INPUT -s 120.0.0.0/8 -j DROP -A INPUT -s 121.0.0.0/8 -j DROP -A INPUT -s 122.0.0.0/8 -j DROP -A INPUT -s 123.0.0.0/8 -j DROP -A INPUT -s 124.0.0.0/8 -j DROP -A INPUT -s 125.0.0.0/8 -j DROP -A INPUT -s 126.0.0.0/8 -j DROP -A INPUT -s 169.0.0.0/8 -j DROP -A INPUT -s 195.0.0.0/8 -j DROP -A INPUT -s 200.0.0.0/8 -j DROP -A INPUT -s 202.0.0.0/8 -j DROP -A INPUT -s 203.0.0.0/8 -j DROP -A INPUT -s 210.0.0.0/8 -j DROP -A INPUT -s 211.0.0.0/8 -j DROP -A INPUT -s 218.0.0.0/8 -j DROP -A INPUT -s 219.0.0.0/8 -j DROP -A INPUT -s 220.0.0.0/8 -j DROP -A INPUT -s 221.0.0.0/8 -j DROP -A INPUT -s 222.0.0.0/8 -j DROP -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Sat May 26 14:00:17 2012 # Generated by iptables-save v1.4.7 on Sat May 26 14:00:17 2012 *mangle :PREROUTING ACCEPT [13673:1180925] :INPUT ACCEPT [13673:1180925] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [10898:4642296] :POSTROUTING ACCEPT [10898:4642296] COMMIT # Completed on Sat May 26 14:00:17 2012 # Generated by iptables-save v1.4.7 on Sat May 26 14:00:17 2012  nhưng mình remote control bằng 1 máy windows từ ip 120.4.30.242 vào server mình, vào web và ssh ngược vào server vẫn truy cập được :( liệu mình có cài iptable sai gì chăng?]]> /hvaonline/posts/list/43310.html#269008 /hvaonline/posts/list/43310.html#269008 GMT sao iptable không block được ip ? :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [535:219222] Nguyên nhân nằm ở màu đỏ.]]> /hvaonline/posts/list/43310.html#269009 /hvaonline/posts/list/43310.html#269009 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269017 /hvaonline/posts/list/43310.html#269017 GMT sao iptable không block được ip ? # Generated by iptables-save v1.4.7 on Mon Sep 3 23:12:45 2012 *nat :PREROUTING ACCEPT [4888:224073] :POSTROUTING ACCEPT [401:27211] :OUTPUT ACCEPT [473:32449] COMMIT # Completed on Mon Sep 3 23:12:45 2012 # Generated by iptables-save v1.4.7 on Mon Sep 3 23:12:45 2012 *mangle :PREROUTING ACCEPT [849022:827264756] :INPUT ACCEPT [848975:827262688] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [543627:34974377] :POSTROUTING ACCEPT [539779:34777639] COMMIT # Completed on Mon Sep 3 23:12:45 2012 # Generated by iptables-save v1.4.7 on Mon Sep 3 23:12:45 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -m limit --limit 25/min --limit-burst 100 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 10000 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -s 61.0.0.0/8 -j DROP -A INPUT -s 69.0.0.0/8 -j DROP -A INPUT -s 84.0.0.0/8 -j DROP -A INPUT -s 93.0.0.0/8 -j DROP -A INPUT -s 111.0.0.0/8 -j DROP -A INPUT -s 115.0.0.0/8 -j DROP -A INPUT -s 116.0.0.0/8 -j DROP -A INPUT -s 117.0.0.0/8 -j DROP -A INPUT -s 118.0.0.0/8 -j DROP -A INPUT -s 119.0.0.0/8 -j DROP -A INPUT -s 120.0.0.0/8 -j DROP -A INPUT -s 121.0.0.0/8 -j DROP -A INPUT -s 122.0.0.0/8 -j DROP -A INPUT -s 123.0.0.0/8 -j DROP -A INPUT -s 124.0.0.0/8 -j DROP -A INPUT -s 125.0.0.0/8 -j DROP -A INPUT -s 126.0.0.0/8 -j DROP -A INPUT -s 169.0.0.0/8 -j DROP -A INPUT -s 195.0.0.0/8 -j DROP -A INPUT -s 200.0.0.0/8 -j DROP -A INPUT -s 202.0.0.0/8 -j DROP -A INPUT -s 203.0.0.0/8 -j DROP -A INPUT -s 210.0.0.0/8 -j DROP -A INPUT -s 211.0.0.0/8 -j DROP -A INPUT -s 218.0.0.0/8 -j DROP -A INPUT -s 219.0.0.0/8 -j DROP -A INPUT -s 220.0.0.0/8 -j DROP -A INPUT -s 221.0.0.0/8 -j DROP -A INPUT -s 222.0.0.0/8 -j DROP -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --sport 10000 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT COMMIT # Completed on Mon Sep 3 23:12:45 2012   ]]> /hvaonline/posts/list/43310.html#269018 /hvaonline/posts/list/43310.html#269018 GMT sao iptable không block được ip ? Code:
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
thì nên gộp nó lại cho dễ nhìn: Code:
-A INPUT -i eth0 -p tcp -m tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
]]> /hvaonline/posts/list/43310.html#269024 /hvaonline/posts/list/43310.html#269024 GMT sao iptable không block được ip ? # Generated by iptables-save v1.4.7 on Thu Sep 6 17:13:16 2012 *nat :PREROUTING ACCEPT [7:518] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [6:2386] COMMIT # Completed on Thu Sep 6 17:13:16 2012 # Generated by iptables-save v1.4.7 on Thu Sep 6 17:13:16 2012 *mangle :PREROUTING ACCEPT [284:17857] :INPUT ACCEPT [284:17857] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [194:45919] :POSTROUTING ACCEPT [181:39025] COMMIT # Completed on Thu Sep 6 17:13:16 2012 # Generated by iptables-save v1.4.7 on Thu Sep 6 17:13:16 2012 *filter :FORWARD DROP [0:0] :INPUT DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -s 61.0.0.0/8 -j DROP -A INPUT -s 69.0.0.0/8 -j DROP -A INPUT -s 84.0.0.0/8 -j DROP -A INPUT -s 93.0.0.0/8 -j DROP -A INPUT -s 111.0.0.0/8 -j DROP -A INPUT -s 115.0.0.0/8 -j DROP -A INPUT -s 116.0.0.0/8 -j DROP -A INPUT -s 117.0.0.0/8 -j DROP -A INPUT -s 118.0.0.0/8 -j DROP -A INPUT -s 119.0.0.0/8 -j DROP -A INPUT -s 120.0.0.0/8 -j DROP -A INPUT -s 121.0.0.0/8 -j DROP -A INPUT -s 122.0.0.0/8 -j DROP -A INPUT -s 123.0.0.0/8 -j DROP -A INPUT -s 124.0.0.0/8 -j DROP -A INPUT -s 125.0.0.0/8 -j DROP -A INPUT -s 126.0.0.0/8 -j DROP -A INPUT -s 169.0.0.0/8 -j DROP -A INPUT -s 195.0.0.0/8 -j DROP -A INPUT -s 200.0.0.0/8 -j DROP -A INPUT -s 202.0.0.0/8 -j DROP -A INPUT -s 203.0.0.0/8 -j DROP -A INPUT -s 210.0.0.0/8 -j DROP -A INPUT -s 211.0.0.0/8 -j DROP -A INPUT -s 218.0.0.0/8 -j DROP -A INPUT -s 219.0.0.0/8 -j DROP -A INPUT -s 220.0.0.0/8 -j DROP -A INPUT -s 221.0.0.0/8 -j DROP -A INPUT -s 222.0.0.0/8 -j DROP -A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset --connlimi$ -A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000 -A INPUT -p tcp -m tcp -m multiport -m state -i eth0 --state ESTABLISHED -j ACCEPT --sports 80,443 -A INPUT -p udp -m udp -i eth0 --sport 53 -j ACCEPT -A INPUT -p udp -m udp --sport 123 -j ACCEPT -A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000 -A OUTPUT -p tcp -m tcp -m multiport -m state -o eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443 -A OUTPUT -p udp -m udp -o eth0 --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 123 -j ACCEPT COMMIT # Completed on Thu Sep 6 17:13:16 2012  mọi thứ hoạt động tốt, nguyên ngày nay dừng được brute force ssh từ china vô server của mình. mình muốn hỏi cái này. làm sao để dời các dòng theo thứ tự mình muốn ? mình xài nano để edit xong rồi service iptables save, save xong thì thứ tự vẫn như trước khi save. Và, mình chưa hiểu lắm về cách sắp sếp thứ tự trong iptables, cái nào quan trọng hơn cái nào? cái nào cần đi trước? cái nào đi sau? ah còn cái nữa, khi dùng iptables trên, mấy cái traceroute, whois, ping php script của mình hết xài được :( permission not allowed hay socket error gì đó. làm sao để giải quyết được vấn đề này?]]> /hvaonline/posts/list/43310.html#269119 /hvaonline/posts/list/43310.html#269119 GMT sao iptable không block được ip ?

blackwidow wrote:
mình xài nano để edit xong rồi service iptables save, save xong thì thứ tự vẫn như trước khi save. 
cái này là do sau khi edit xong, bồ dùng service iptables save thì đuơng nhiên là sẽ trả về rule như trước. để làm được điều này, bồ nên làm như sau: Nếu file rule đặt ở vị trí nào đó mà không edit thẳng lên file iptables ấn định thì bồ dùng lệnh: Code:
iptables-restore < <path file rule>
sau đó dùng service iptables save Nếu bồ edit thẳng lên file iptables và save lại thì dùng lệnh: Code:
service iptables restart
Để tạo được 1 rule theo thứ tự vị trí đặt ta thực hiện như sau: Code:
iptables -I <CHAIN> <số vị trí đặt> -p .........
Mình không thích dung nano và nano tớ cũng đã không dùng nó từ lâu, tớ dùng vi thôi, và để move từ hàng này sang hàng khác trong vi thì ta gõ như sau (bấm nút ESC trước cho chắc): Code:
:<số hàng hoặc nhóm hàng cần chuyển>v<số vị trí đặt>
ping không được là vì bồ chưa allow icmp Code:
iptables -A <CHAIN> -p icmp -j ACCEPT
]]> /hvaonline/posts/list/43310.html#269120 /hvaonline/posts/list/43310.html#269120 GMT sao iptable không block được ip ?

blackwidow wrote:
Và, mình chưa hiểu lắm về cách sắp sếp thứ tự trong iptables, cái nào quan trọng hơn cái nào? cái nào cần đi trước? cái nào đi sau? 
Bạn nên đọc các Case về Iptables mà anh conmale đã viết để hiểu rõ hơn. Theo mình thì bạn nên thiết lập rules cho Iptables bằng script thì sẽ linh hoạt hơn nhiều. Iptables sẽ duyệt các rules theo thứ tự từ trên xuống dưới, nên cái nào quan trọng hơn và cần ưu tiên thì bạn đặt trước. Ví dụ: Trong trường hợp server bị DoS, băng thông bị nghẽn, nếu như bạn không ưu tiên cho dịch vụ SSH thì rất khó chịu khi remote lên server để làm việc.

blackwidow wrote:
ah còn cái nữa, khi dùng iptables trên, mấy cái traceroute, whois, ping php script của mình hết xài được :( permission not allowed hay socket error gì đó. làm sao để giải quyết được vấn đề này? 
Bạn nên tìm hiểu xem traceroute, whois làm việc ở giao thức và cổng nào để tạo rules mở nó ra cho phù hợp. Với ping thì bạn cũng cần tìm hiểu các TYPE của ICMP để tạo rules cho chặt chẽ. Thân!]]> /hvaonline/posts/list/43310.html#269124 /hvaonline/posts/list/43310.html#269124 GMT sao iptable không block được ip ? # Generated by iptables-save v1.4.7 on Sat Sep 8 19:26:10 2012 *nat :PREROUTING ACCEPT [5:268] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [6:1068] COMMIT # Completed on Sat Sep 8 19:26:10 2012 # Generated by iptables-save v1.4.7 on Sat Sep 8 19:26:10 2012 *mangle :PREROUTING ACCEPT [380:23298] :INPUT ACCEPT [380:23298] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [274:48089] :POSTROUTING ACCEPT [268:47021] COMMIT # Completed on Sat Sep 8 19:26:10 2012 # Generated by iptables-save v1.4.7 on Sat Sep 8 19:26:10 2012 *filter :FORWARD DROP [0:0] :INPUT DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -p tcp -m tcp -m state -m recent -i eth0 --dport 22 --state NEW --set --name SSH --rsource -A INPUT -p tcp -m tcp -m state -m recent -i eth0 --dport 22 --state NEW -j DROP --update --seconds 300 --hitcount 4 --rttl --name SSH --rsource -A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with tcp-reset --connlimit-above 4 --connlimit-mask 32 -A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000 -A INPUT -p tcp -m tcp -m multiport -m state -i eth0 --state ESTABLISHED -j ACCEPT --sports 80,443 -A INPUT -p udp -m udp -m multiport -i eth0 -j ACCEPT --sports 123,53 -A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000 -A OUTPUT -p tcp -m tcp -m multiport -m state -o eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443 -A OUTPUT -p udp -m udp -m multiport -o eth0 -j ACCEPT --dports 123,53 COMMIT # Completed on Sat Sep 8 19:26:10 2012  nhưng vẫn bị nhè nhẹ
Sep 9 08:58:25 xxxxxxxxx sshd[20141]: Address 64.34.179.206 maps to server1.aclutx.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 9 08:58:25 xxxxxxxxx sshd[20141]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.34.179.206 user=root Sep 9 08:58:27 xxxxxxxxx sshd[20141]: Failed password for root from 64.34.179.206 port 35164 ssh2 Sep 9 08:58:27 xxxxxxxxx sshd[20142]: Received disconnect from 64.34.179.206: 11: Bye Bye Sep 9 08:58:28 xxxxxxxxx sshd[20143]: Address 64.34.179.206 maps to server1.aclutx.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 9 08:58:28 xxxxxxxxx sshd[20143]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.34.179.206 user=root Sep 9 08:58:28 xxxxxxxxx sshd[20145]: Address 64.34.179.206 maps to server1.aclutx.org, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 9 08:58:28 xxxxxxxxx sshd[20145]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=64.34.179.206 user=root Sep 9 08:58:30 xxxxxxxxx sshd[20143]: Failed password for root from 64.34.179.206 port 39604 ssh2 Sep 9 08:58:30 xxxxxxxxx sshd[20144]: Received disconnect from 64.34.179.206: 11: Bye Bye Sep 9 08:58:30 xxxxxxxxx sshd[20145]: Failed password for root from 64.34.179.206 port 35938 ssh2 Sep 9 08:58:31 xxxxxxxxx sshd[20146]: Received disconnect from 64.34.179.206: 11: Bye Bye Sep 9 11:02:43 xxxxxxxxx sshd[21616]: Address 173.231.12.116 maps to 173-231-12-116.hosted.static.webnx.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 9 11:02:43 xxxxxxxxx sshd[21616]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.231.12.116 user=root Sep 9 11:02:45 xxxxxxxxx sshd[21616]: Failed password for root from 173.231.12.116 port 54261 ssh2 Sep 9 11:02:45 xxxxxxxxx sshd[21617]: Received disconnect from 173.231.12.116: 11: Bye Bye Sep 9 11:02:46 xxxxxxxxx sshd[21618]: Address 173.231.12.116 maps to 173-231-12-116.hosted.static.webnx.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 9 11:02:46 xxxxxxxxx sshd[21618]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.231.12.116 user=root Sep 9 11:02:46 xxxxxxxxx sshd[21620]: Address 173.231.12.116 maps to 173-231-12-116.hosted.static.webnx.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Sep 9 11:02:46 xxxxxxxxx sshd[21620]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.231.12.116 user=root Sep 9 11:02:47 xxxxxxxxx sshd[21618]: Failed password for root from 173.231.12.116 port 60095 ssh2 Sep 9 11:02:47 xxxxxxxxx sshd[21619]: Received disconnect from 173.231.12.116: 11: Bye Bye Sep 9 11:02:48 xxxxxxxxx sshd[21620]: Failed password for root from 173.231.12.116 port 54863 ssh2 Sep 9 11:02:48 xxxxxxxxx sshd[21621]: Received disconnect from 173.231.12.116: 11: Bye Bye 
nhưng có vẻ 2 dòng iptables trên không xi nhê, vd như thằng 64.34.179.206, lúc 08:58:27 có 12 lần login = root, nhưng iptables luật là 4 lần 5 phút. Mình coi trong ssh server config của mình chỉ limit 6 lần login không thành công. Mình thử login bình thường với password sai liên tục thì được đúng 6 lần của ssh config, như vậy thì iptables không hoạt động đúng. Mình thắc mắc là tại sao brute force được nhiều như vậy trong thời gian ngắn trong khi ssh config chỉ cho 6?]]> /hvaonline/posts/list/43310.html#269251 /hvaonline/posts/list/43310.html#269251 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269256 /hvaonline/posts/list/43310.html#269256 GMT sao iptable không block được ip ? Code:
iptables -N IN_SSH
Thay 2 rule hàng 1 và 2 của INPUT thành: Code:
iptables -A INPUT -p tcp -m tcp -i eth0 --dport 22 -j IN_SSH
Tạo thêm 3 rule vào CHAIN IN_SSH: Code:
iptables -A IN_SSH -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A IN_SSH -m recent --update --seconds 300 --hitcount 4 --name SSH --rsource -j DROP
iptables -A IN_SSH -m recent --set --name SSH --rsource -j ACCEPT
tại rule 4 INPUT theo CHAIN INPUT cũ bỏ đi port 22 ==> Code:
-A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443,10000
Muốn chắc chắn hơn thì nên tạo key ssh cho đỡ lo Hoặc tham khảo thêm bài này: /hvaonline/posts/list/42475.html]]> /hvaonline/posts/list/43310.html#269264 /hvaonline/posts/list/43310.html#269264 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269306 /hvaonline/posts/list/43310.html#269306 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269308 /hvaonline/posts/list/43310.html#269308 GMT sao iptable không block được ip ?

blackwidow wrote:
hình như lúc setup ssh server tự nó tạo rsa key cho mình rồi mà?  
Cái này dính thói quen xấu thứ 7 mà anh Conmale đã nói đấy nhé. :D Code:
/hvaonline/posts/list/42715.html
]]> /hvaonline/posts/list/43310.html#269310 /hvaonline/posts/list/43310.html#269310 GMT sao iptable không block được ip ? # Generated by iptables-save v1.4.7 on Tue Sep 11 20:38:31 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :LOGNDROP - [0:0] -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP -A INPUT -f -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOGNDROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGNDROP -A INPUT -m state --state INVALID -j LOGNDROP -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH --rsource -j LOGNDROP -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 25/min --limit-burst 100 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/sec --limit-burst 50 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,10000 -m state --state NEW,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp -m multiport --sports 80,443 -m state --state ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p udp -m udp -m multiport --sports 123,53 -j ACCEPT -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j LOGNDROP -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOGNDROP -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP -A OUTPUT -f -j LOGNDROP -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j LOGNDROP -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOGNDROP -A OUTPUT -m state --state INVALID -j LOGNDROP -A OUTPUT -p icmp -m icmp --icmp-type 8 -j LOGNDROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443,10000 -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp -m multiport --dports 123,53 -j ACCEPT -A LOGNDROP -j LOG --log-prefix "LOGNDROP: " -A LOGNDROP -j DROP COMMIT # Completed on Tue Sep 11 20:38:31 2012 # Generated by iptables-save v1.4.7 on Tue Sep 11 20:38:31 2012 *mangle :PREROUTING ACCEPT [1451511:74777798] :INPUT ACCEPT [1451511:74777798] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [372157:1486000721] :POSTROUTING ACCEPT [371275:1485305799] COMMIT # Completed on Tue Sep 11 20:38:31 2012 # Generated by iptables-save v1.4.7 on Tue Sep 11 20:38:31 2012 *nat :PREROUTING ACCEPT [3416:155332] :POSTROUTING ACCEPT [673:44245] :OUTPUT ACCEPT [804:54731] COMMIT # Completed on Tue Sep 11 20:38:31 2012  còn đây là script mình chạy
#!/bin/bash # ############################# # FIREWALL 1.0 # 09/11/2012 # # How to make the script executable # chmod +x firewall # # edit our script and run it from the shell with the following command # ./firewall ############################# ############################# # Flush all current rules from iptables iptables -F ############################# ############################# # Set default policies for INPUT, FORWARD and OUTPUT chains iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ############################# ############################# # LOGDROPPER iptables -N LOGNDROP > /dev/null 2> /dev/null iptables -F LOGNDROP iptables -A LOGNDROP -j LOG --log-prefix "LOGNDROP: " iptables -A LOGNDROP -j DROP ############################# ############################# # force syn packets check, make sure new incoming tcp connections are syn packets; otherwise we need to drop them iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOGNDROP ############################# ############################# # drop invalid syn packets iptables -A INPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j LOGNDROP iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOGNDROP iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP iptables -A OUTPUT -p tcp --tcp-flags ALL ACK,RST,SYN,FIN -j LOGNDROP iptables -A OUTPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOGNDROP iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN,RST -j LOGNDROP ############################# ############################# # drop packets with incoming fragments. this attack result into linux server panic such data loss iptables -A INPUT -f -j LOGNDROP iptables -A OUTPUT -f -j LOGNDROP ############################# ############################# # xmas packets iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOGNDROP iptables -A OUTPUT -p tcp --tcp-flags ALL ALL -j LOGNDROP ############################# ############################# # drop all null packets iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOGNDROP iptables -A OUTPUT -p tcp --tcp-flags ALL NONE -j LOGNDROP ############################# ############################# # drop invalid iptables -A INPUT -m state --state INVALID -j LOGNDROP iptables -A OUTPUT -m state --state INVALID -j LOGNDROP ############################# ############################# # disable outgoign icmp request iptables -A OUTPUT -p icmp --icmp-type echo-request -j LOGNDROP ############################# ############################# # prevent ssh attacks iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 4 --rttl --name SSH -j LOGNDROP ############################# ############################# # Limit NEW traffic on port 80 iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 25/minute --limit-burst 100 -j ACCEPT ############################# ############################# # Limit established traffic iptables -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT ############################# ############################# # allow loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT ############################# ############################# # allow server tcp ports 22,80,443,10000 iptables -A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000 iptables -A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000 ############################# ############################# # allow tcp ports 80,443 for yum update iptables -A INPUT -p tcp -m tcp -m multiport -m state -i eth0 --state ESTABLISHED -j ACCEPT --sports 80,443 iptables -A OUTPUT -p tcp -m tcp -m multiport -m state -o eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 80,443 ############################# ############################# # allow udp ports 123 ntp (network time protocol), 53 dns (domain name service) iptables -A INPUT -p udp -m udp -m multiport -i eth0 -j ACCEPT --sports 123,53 iptables -A OUTPUT -p udp -m udp -m multiport -o eth0 -j ACCEPT --dports 123,53 ############################# ############################# # Save settings /sbin/service iptables save ############################# ############################# # List rules iptables -L -v #############################  
các bác thấy có gì mình còn sai xót thì xin góp ý, trong vài ngày tới mình sẽ cố gắng mở thêm mấy cái port để chạy traceroute & ping = php, vì sau khi xài iptables mấy cái ping, whois, traceroute php script chưa chạy được vì chưa có thời gian ngâm cứu.]]> /hvaonline/posts/list/43310.html#269313 /hvaonline/posts/list/43310.html#269313 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269353 /hvaonline/posts/list/43310.html#269353 GMT sao iptable không block được ip ?

blackwidow wrote:
có 1 vấn đề này, nhờ các bác góp ý, cái server trên là centos chạy trên windows xp bằng vmware, nối trực tiếp vô modem ra internet. Không có cái gì bảo vệ thằng xp hết trừ cái firewall có sẵn của xp. Mình rất muốn cài centos thẳng lên cái box đó nhưng mình vẫn chưa tự tin cho lắm vì nếu cài thẳng lên box nếu bị fuked up cái gì đó thì phải lên trực tiếp cái box để sửa. mình xài vmware như vậy nếu có gì hư thì còn vnc vô xp để sửa thằng centos được còn không thì restore từ snapshot của vnware. các bác nghĩ xp (tắt hết mấy services không quan trọng, và không chạy gì trừ vmware) có khả năng đứng ra thẳng internet như vậy không? mình vẫn thích vmware vì rất tiện cho mình. 
Thay vì dùng Windows XP là host thì bạn chuyển sang CentOS hoặc Windows Server 2012 làm host rồi đưa VMWare Server chạy CentOS lại như vậy an toàn và tiện lợi hơn cho bạn. Một giải pháp khác đó là dùng FreeBSD và Jail thay thế (không chắc, chỉ nghe người khác nói).]]> /hvaonline/posts/list/43310.html#269390 /hvaonline/posts/list/43310.html#269390 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269394 /hvaonline/posts/list/43310.html#269394 GMT sao iptable không block được ip ?

blackwidow wrote:
nếu như mình cài centos lên box đó, rồi vmware. Thì những file của centos guest của vmware windows tạo ra có phải convert qua host centos mới không? hay chỉ đơn giản là copy qua thôi? 
Bạn dùng VMWare thì chỉ việc sao chép cả thư mục máy ảo CentOS từ Windows XP host sang CentOS host thôi.]]> /hvaonline/posts/list/43310.html#269395 /hvaonline/posts/list/43310.html#269395 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269652 /hvaonline/posts/list/43310.html#269652 GMT sao iptable không block được ip ? Code:
IF=`/sbin/route | grep -i 'default' | awk '{print $8}'`
IP=`/sbin/ifconfig $IF |  grep "inet addr" | awk -F":" '{print $2}' | awk '{print $1}'`
để xác định card mạng nào đang sử dụng để ra internet & IP của card mạng đó. Sau đấy viết rule thì thêm biến $IF & $IP. Bác tham khảo thêm các case về Iptables của bác conmale]]> /hvaonline/posts/list/43310.html#269668 /hvaonline/posts/list/43310.html#269668 GMT sao iptable không block được ip ? iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP   thì tất cả các cổng đều bị đóng hết :( lại phải stop iptables mới vào lại đc :(]]> /hvaonline/posts/list/43310.html#269676 /hvaonline/posts/list/43310.html#269676 GMT sao iptable không block được ip ?

tga wrote:
sao em mới cho
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP  
thì tất cả các cổng đều bị đóng hết :( lại phải stop iptables mới vào lại đc :( 
vì bạn drop hết rồi, mặc định là ACCEPT, nếu bạn DROP hết như vậy thì bạn phải mở từng port riêng mà bạn cần xài. bạn xem lại cái iptables & script hoàn chỉnh mình chạy trên server của mình ở trên, post 4-5 gì đó. # allow server tcp ports 22,80,443,10000 iptables -A INPUT -p tcp -m multiport -m state -i eth0 --state NEW,ESTABLISHED -j ACCEPT --dports 22,80,443,10000 iptables -A OUTPUT -p tcp -m multiport -m state -o eth0 --state ESTABLISHED -j ACCEPT --sports 22,80,443,10000 ]]> /hvaonline/posts/list/43310.html#269685 /hvaonline/posts/list/43310.html#269685 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269841 /hvaonline/posts/list/43310.html#269841 GMT sao iptable không block được ip ? /hvaonline/posts/list/43310.html#269887 /hvaonline/posts/list/43310.html#269887 GMT