Jump to content

Recommended Posts

Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе :) 

  • Thanks 1
Link to comment
Share on other sites

Рассмотрите вариант с помощью ipset, тем более IP адреса можно добавлять самому в готовый список. Создание списка из wget -O- http://www.ipdeny.com/ipblocks/data/countries
Далее загнать его например в geoblock и на нужный "порт" (переменная, номер порта куда направить)

...
ipset create geoblock hash:net,port
for net in $(wget -O- http://www.ipdeny.com/ipblocks/data/countries/ru.zone); 
do
    ipset add geoblock $net,порт
done
iptables -I INPUT -m state --state NEW -m set --match-set geoblock src -j REJECT
...
...
add geoblock 91.217.136.0/24,tcp:порт
add geoblock 91.246.25.0/24,tcp:порт
add geoblock 5.172.0.0/19,tcp:порт
add geoblock 46.249.0.0/19,tcp:порт
...
/opt/tmp # iptables -nvL | grep geoblock
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW match-set geoblock src reject-with icmp-port-unreachable
/opt/tmp #
/opt/tmp # ipset --list geoblock
...
62.168.224.0/19,tcp:порт
128.204.0.0/18,tcp:порт
185.5.160.0/22,tcp:порт
194.126.168.0/22,tcp:порт
...

сам список можно сформировать в ручную в место того чтоб брать wget с ipdeny, его формат простой например для зоны ....

167.149.0.0/16
168.163.0.0/16
199.103.106.0/24
199.103.111.0/24
199.103.112.0/24
204.79.161.0/24
204.79.162.0/23
204.79.166.0/23
204.79.229.0/24
5.1.96.0/21

Например ru.zona - 123КБ, ch.zone - 30KБ. Ну или с DROP

Тут по моему был пример ipset при блокировки рекламы.

Edited by vasek00
Link to comment
Share on other sites

Ну я где-то так "через такой" костыль и отбиваю только с помощью file2ban... но ... функционал xtables-addons поинтереснее ... кроме geoip ... Например - наказывать "ломящихся" незакрытым соединением минут на 10-20 :) , особенно любителей "по сканировать" ....

Link to comment
Share on other sites

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter

типа xt_TARPIT и в iptables libipt_TARPIT

— TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, 
способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает 
открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного 
закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система 
ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться 
отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у 
атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, 
и работают атакующие ботнеты. 

открытие порта для пустых соединений
iptables -A INPUT -i $IF -p tcp -m tcp --destination-port ххх -j TARPIT
или для всех оставшихся последняя запись
iptables -A INPUT -p tcp -m tcp -j TARPIT

Основной минус это временной интервал timeout.

типа xt_DELUDE

— DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим 
образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST 
(чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление 
о состоянии ваших портов.

Что имеем так это все в  - /lib/modules/3.4.113

/lib/modules/3.4.113 # ls -l | grep xt_
-rw-r--r--    1 root     root          2008 Jan 20 22:40 xt_CLASSIFY.ko
-rw-r--r--    1 root     root          3400 Jan 20 22:40 xt_DSCP.ko
-rw-r--r--    1 root     root          4944 Jan 20 22:40 xt_TEE.ko
-rw-r--r--    1 root     root          7196 Jan 20 22:40 xt_TPROXY.ko
-rw-r--r--    1 root     root          4336 Jan 20 22:40 xt_addrtype.ko
-rw-r--r--    1 root     root          1908 Jan 20 22:40 xt_comment.ko
-rw-r--r--    1 root     root          3644 Jan 20 22:40 xt_connbytes.ko
-rw-r--r--    1 root     root          3144 Jan 20 22:40 xt_connmark.ko
-rw-r--r--    1 root     root          2676 Jan 20 22:40 xt_dscp.ko
-rw-r--r--    1 root     root          3092 Jan 20 22:40 xt_ecn.ko
-rw-r--r--    1 root     root          2304 Jan 20 22:40 xt_esp.ko
-rw-r--r--    1 root     root         11360 Jan 20 22:40 xt_hashlimit.ko
-rw-r--r--    1 root     root          2648 Jan 20 22:40 xt_helper.ko
-rw-r--r--    1 root     root          2200 Jan 20 22:40 xt_hl.ko
-rw-r--r--    1 root     root          2552 Jan 20 22:40 xt_iprange.ko
-rw-r--r--    1 root     root          2152 Jan 20 22:40 xt_length.ko
-rw-r--r--    1 root     root          2116 Jan 20 22:40 xt_owner.ko
-rw-r--r--    1 root     root          2984 Jan 20 22:40 xt_physdev.ko
-rw-r--r--    1 root     root          2084 Jan 20 22:40 xt_pkttype.ko
-rw-r--r--    1 root     root          3772 Jan 20 22:40 xt_policy.ko
-rw-r--r--    1 root     root          2456 Jan 20 22:40 xt_quota.ko
-rw-r--r--    1 root     root         12368 Jan 20 22:40 xt_recent.ko
-rw-r--r--    1 root     root          6060 Jan 20 22:40 xt_set.ko
-rw-r--r--    1 root     root          5332 Jan 20 22:40 xt_socket.ko
-rw-r--r--    1 root     root          2492 Jan 20 22:40 xt_statistic.ko
-rw-r--r--    1 root     root          2400 Jan 20 22:40 xt_string.ko
/lib/modules/3.4.113 # 

 

Edited by vasek00
Link to comment
Share on other sites

19 часов назад, vasek00 сказал:

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter

типа xt_TARPIT и в iptables libipt_TARPIT

 

xtables-addons-common это подерживает TARPIT, DELUDE + CHAOS :) 

 

Link to comment
Share on other sites

Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel.

Link to comment
Share on other sites

1 час назад, plagioklaz сказал:

Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel.

  Из того что доступно в iptables я сделал вот так в /ndm/netfilter.d

## Блокирование INVALID-пакетов
iptables -A INPUT -i eth3 -m conntrack --ctstate INVALID -j DROP

## Блокирование новых пакетов, которые не имеют флага SYN
iptables -A INPUT -i eth3 -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

## Блокирование фрагментированных пакетов
iptables -A INPUT -i eth3 -f -j DROP

## Блокирование пакетов с неверными TCP флагами
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

## Защита от сканирования портов
iptables -N port-scanning
iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
iptables -A port-scanning -j DROP

Ну и посмотреть "как там дела" :)  после применения правил

iptables -nvL
  • Thanks 2
Link to comment
Share on other sites

Подождем lib из 11 сейчас же ревизия /usr/lib/libxtables.so.10 или /opt/lib/libxtables.so.10

Цитата

установке и настройке средств защиты от ломящихся

Тут уже есть много примеров и которые могут работать в месте на основе DNSMasq с плюсом IPSet

Суть DNSMasq прием и обработка запросов DNS от клиента с проверкой по файлу hosts который обновляется автоматом (или в ручную создается). Меньше таких сайтов посещаете - меньше оставляем следы своего прибывания.

Суть IPSet готовые команды выше практически все это создать список неугодных IP адресов поместив их в "geoblock" или свое имя и использовать его в одном входящем INPUT правиле iptables. Создавать большой список не есть гуд, а может к вам и не ломятся или один "залетный" то можно только для него.

И не забываем, что разработчик тоже учитывает реалии жизни.

https://forum.keenetic.net/topic/139-блокировка-рекламы-на-роутере/

https://forum.keenetic.net/topic/97-блокировка-сбора-информации-windows-10/

Link to comment
Share on other sites

Ну про блокировку рекламы я тоже "отметился" на основе privoxy .... автоматом обновляет + возможность многих "вкусностей"  опять же если "найдеться" недстающий модуль под Python ... так еще и https фильтрацию "заточу" .... Можно использовать "в спайке" с решением dnsmasq (по файлу hosts).... но мне кажется что  -  privoxy изящнее и функциональнее :)

НО ! Это все "постфактум" ....  хотелось бы xtables-addons-common .... это ж "надстроечка"  для iptables .... 

p.s. По privoxy+adblock есть изменения в скрипте обновления ... обновлю на днях инструкцию и ссылки

Edited by Dorik1972
Link to comment
Share on other sites

  • 1 month later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...