xtables-addons-common

[Dorik1972]

Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе  

[vasek00]

Рассмотрите вариант с помощью ipset, тем более IP адреса можно добавлять самому в готовый список. Создание списка из wget -O- http://www.ipdeny.com/ipblocks/data/countries
Далее загнать его например в geoblock и на нужный "порт" (переменная, номер порта куда направить)

...
ipset create geoblock hash:net,port
for net in $(wget -O- http://www.ipdeny.com/ipblocks/data/countries/ru.zone); 
do
    ipset add geoblock $net,порт
done
iptables -I INPUT -m state --state NEW -m set --match-set geoblock src -j REJECT
...

...
add geoblock 91.217.136.0/24,tcp:порт
add geoblock 91.246.25.0/24,tcp:порт
add geoblock 5.172.0.0/19,tcp:порт
add geoblock 46.249.0.0/19,tcp:порт
...
/opt/tmp # iptables -nvL | grep geoblock
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW match-set geoblock src reject-with icmp-port-unreachable
/opt/tmp #
/opt/tmp # ipset --list geoblock
...
62.168.224.0/19,tcp:порт
128.204.0.0/18,tcp:порт
185.5.160.0/22,tcp:порт
194.126.168.0/22,tcp:порт
...

сам список можно сформировать в ручную в место того чтоб брать wget с ipdeny, его формат простой например для зоны ....

167.149.0.0/16
168.163.0.0/16
199.103.106.0/24
199.103.111.0/24
199.103.112.0/24
204.79.161.0/24
204.79.162.0/23
204.79.166.0/23
204.79.229.0/24
5.1.96.0/21

Например ru.zona - 123КБ, ch.zone - 30KБ. Ну или с DROP

Тут по моему был пример ipset при блокировки рекламы.

Edited January 22, 2017 by vasek00

[Dorik1972]

Ну я где-то так "через такой" костыль и отбиваю только с помощью file2ban... но ... функционал xtables-addons поинтереснее ... кроме geoip ... Например - наказывать "ломящихся" незакрытым соединением минут на 10-20  , особенно любителей "по сканировать" ....

[vasek00]

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter

типа xt_TARPIT и в iptables libipt_TARPIT

— TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, 
способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает 
открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного 
закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система 
ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться 
отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у 
атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, 
и работают атакующие ботнеты. 

открытие порта для пустых соединений
iptables -A INPUT -i $IF -p tcp -m tcp --destination-port ххх -j TARPIT
или для всех оставшихся последняя запись
iptables -A INPUT -p tcp -m tcp -j TARPIT

Основной минус это временной интервал timeout.

типа xt_DELUDE

— DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим 
образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST 
(чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление 
о состоянии ваших портов.

Что имеем так это все в  - /lib/modules/3.4.113

/lib/modules/3.4.113 # ls -l | grep xt_
-rw-r--r--    1 root     root          2008 Jan 20 22:40 xt_CLASSIFY.ko
-rw-r--r--    1 root     root          3400 Jan 20 22:40 xt_DSCP.ko
-rw-r--r--    1 root     root          4944 Jan 20 22:40 xt_TEE.ko
-rw-r--r--    1 root     root          7196 Jan 20 22:40 xt_TPROXY.ko
-rw-r--r--    1 root     root          4336 Jan 20 22:40 xt_addrtype.ko
-rw-r--r--    1 root     root          1908 Jan 20 22:40 xt_comment.ko
-rw-r--r--    1 root     root          3644 Jan 20 22:40 xt_connbytes.ko
-rw-r--r--    1 root     root          3144 Jan 20 22:40 xt_connmark.ko
-rw-r--r--    1 root     root          2676 Jan 20 22:40 xt_dscp.ko
-rw-r--r--    1 root     root          3092 Jan 20 22:40 xt_ecn.ko
-rw-r--r--    1 root     root          2304 Jan 20 22:40 xt_esp.ko
-rw-r--r--    1 root     root         11360 Jan 20 22:40 xt_hashlimit.ko
-rw-r--r--    1 root     root          2648 Jan 20 22:40 xt_helper.ko
-rw-r--r--    1 root     root          2200 Jan 20 22:40 xt_hl.ko
-rw-r--r--    1 root     root          2552 Jan 20 22:40 xt_iprange.ko
-rw-r--r--    1 root     root          2152 Jan 20 22:40 xt_length.ko
-rw-r--r--    1 root     root          2116 Jan 20 22:40 xt_owner.ko
-rw-r--r--    1 root     root          2984 Jan 20 22:40 xt_physdev.ko
-rw-r--r--    1 root     root          2084 Jan 20 22:40 xt_pkttype.ko
-rw-r--r--    1 root     root          3772 Jan 20 22:40 xt_policy.ko
-rw-r--r--    1 root     root          2456 Jan 20 22:40 xt_quota.ko
-rw-r--r--    1 root     root         12368 Jan 20 22:40 xt_recent.ko
-rw-r--r--    1 root     root          6060 Jan 20 22:40 xt_set.ko
-rw-r--r--    1 root     root          5332 Jan 20 22:40 xt_socket.ko
-rw-r--r--    1 root     root          2492 Jan 20 22:40 xt_statistic.ko
-rw-r--r--    1 root     root          2400 Jan 20 22:40 xt_string.ko
/lib/modules/3.4.113 # 

 

Edited January 22, 2017 by vasek00

[Dorik1972]

19 часов назад, vasek00 сказал:

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter

типа xt_TARPIT и в iptables libipt_TARPIT

 

xtables-addons-common это подерживает TARPIT, DELUDE + CHAOS  

 

[plagioklaz]

Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel.

[Dorik1972]

1 час назад, plagioklaz сказал:

Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel.

  Из того что доступно в iptables я сделал вот так в /ndm/netfilter.d

## Блокирование INVALID-пакетов
iptables -A INPUT -i eth3 -m conntrack --ctstate INVALID -j DROP

## Блокирование новых пакетов, которые не имеют флага SYN
iptables -A INPUT -i eth3 -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

## Блокирование фрагментированных пакетов
iptables -A INPUT -i eth3 -f -j DROP

## Блокирование пакетов с неверными TCP флагами
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

## Защита от сканирования портов
iptables -N port-scanning
iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
iptables -A port-scanning -j DROP

Ну и посмотреть "как там дела"   после применения правил

iptables -nvL

[vasek00]

Подождем lib из 11 сейчас же ревизия /usr/lib/libxtables.so.10 или /opt/lib/libxtables.so.10

Цитата

установке и настройке средств защиты от ломящихся

Тут уже есть много примеров и которые могут работать в месте на основе DNSMasq с плюсом IPSet

Суть DNSMasq прием и обработка запросов DNS от клиента с проверкой по файлу hosts который обновляется автоматом (или в ручную создается). Меньше таких сайтов посещаете - меньше оставляем следы своего прибывания.

Суть IPSet готовые команды выше практически все это создать список неугодных IP адресов поместив их в "geoblock" или свое имя и использовать его в одном входящем INPUT правиле iptables. Создавать большой список не есть гуд, а может к вам и не ломятся или один "залетный" то можно только для него.

И не забываем, что разработчик тоже учитывает реалии жизни.

https://forum.keenetic.net/topic/139-блокировка-рекламы-на-роутере/

https://forum.keenetic.net/topic/97-блокировка-сбора-информации-windows-10/

[Dorik1972]

Ну про блокировку рекламы я тоже "отметился" на основе privoxy .... автоматом обновляет + возможность многих "вкусностей"  опять же если "найдеться" недстающий модуль под Python ... так еще и https фильтрацию "заточу" .... Можно использовать "в спайке" с решением dnsmasq (по файлу hosts).... но мне кажется что  -  privoxy изящнее и функциональнее

НО ! Это все "постфактум" ....  хотелось бы xtables-addons-common .... это ж "надстроечка"  для iptables .... 

p.s. По privoxy+adblock есть изменения в скрипте обновления ... обновлю на днях инструкцию и ссылки

Edited January 23, 2017 by Dorik1972

[Le ecureuil]

Собирайте голоса, возможно в opkg-kmod-netfilter добавим модули ядра из xtables-addons. Но это будет только версия 1.42, ветка 2.x нам не подойдет.

[ndm]

Модули addons добавлены в версии 2.09.A.3.0-7.

[Le ecureuil]

Список модулей здесь: