LINUX.ORG.RU
ФорумAdmin

Iptables + логи


0

0

Доброго времени суток.

Стоят iptables. Несмотря на то, что интернет по модему,
присутствуют частые попытки взлома и сканирования портов.
(Вообще, после перехода с полгода назад на Линукс я узнал
та-ак много интересного про интернет в частности, что в двух
словах не описать...) По первости, когда iptables не были
настроены, находил очень много интересного в логах Apache и
Самбы. Теперь все вроде закрыто, и об активности "плохих
человеков" сужу по кол-ву отвергнутых пакетов:

# iptables-save
# Generated by iptables-save
*filter
:INPUT DROP [80:3520]
^^^
я правильно понял, что это (80) и есть кол-во непропущенных
пакетов? А что означает вторая цифра (3520)? (1)

Как сделать логирование всех отвергнутых пакетов? Как логировать
те, которые соответствуют к-л правилу я понял, только у меня
правила разрешающие, политика по умолчанию - запрет, и как
писать в лог (желательно отдельный) то, что под нее подпадает? (2)

# iptables-save
# Generated by iptables-save
*filter
:INPUT DROP [80:3520]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 137 --dport 32768:65535 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 137:139 -j ACCEPT
COMMIT
# Completed on Sun Feb 26 19:24:31 2006

С правилами все в порядке? (3)
Или может лучше делать REJECT вместо DROP? Наружу (в интернет)
все должно быть перекрыто. В локалку - открыта только Самба.
Loopback конечно разрешен. Все правильно?


P.S. может кто подскажет недогоняющему в каком форматировании
нужно сюда постить? А то то широко, то узко получается :) Не
хочется испытывать терпение (и глаза) почтенной публики..

wbr, mousehouse

> я правильно понял, что это (80) и есть кол-во непропущенных пакетов? А что означает вторая цифра (3520)? (1)

Количество байт.

> Как сделать логирование всех отвергнутых пакетов? Как логировать те, которые соответствуют к-л правилу я понял, только у меня правила разрешающие, политика по умолчанию - запрет, и как писать в лог (желательно отдельный) то, что под нее подпадает? (2)

Последним правилом добавить iptables -A OUTPUT -j LOG, iptables -A INPUT -j LOG, iptables -A FORWARD -j LOG

> -A INPUT -p icmp -j ACCEPT

Если писать такие пароидальные правила - то лучше разрешить только пинги и может ещё что-нибуть такое, или запретиь всякие network-redirect - см. iptables -p icmp -h

> -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

Прще сразу -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

> -A INPUT -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT

nebios использует 139 и 445, т. е. -A INPUT -i eth0 -p tcp -m multiport --destination-ports 139:445 -j ACCEPT

> -A INPUT -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT

nebios использует 137 и 138, т. е. -A INPUT -i eth0 -p udp -m udp --dport 137:138 -j ACCEPT

> -A INPUT -i eth0 -p udp -m udp --sport 137 --dport 32768:65535 -j ACCEPT

Лучше использовать модуль ip_conntrack_netbios_ns

> -A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT -A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT

А большого в этом смысла? - Лучше помоему нормально настоить приложения которые могут что-то слать наружу.

> -A OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j ACCEPT > -A OUTPUT -o eth0 -p udp -m udp --sport 137:139 -j ACCEPT

Сделать как для INPUT.

> Или может лучше делать REJECT вместо DROP?

Ну мне больше нравиться DROP/

Ещё возможно имеет смысл установить в 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

anonymous
()
Ответ на: комментарий от anonymous 

Спасибо, буду разбираться. 
>Лучше помоему нормально настоить приложения 
которые могут что-то слать наружу

Т.е. посадить всех на определенные порты? А что, с браузером (Firefox) можно так сделать? Не подскажете как?

Mousehouse
() автор топика
Ответ на: комментарий от Mousehouse

> Т.е. посадить всех на определенные порты? А что, с браузером (Firefox) можно так сделать? Не подскажете как?

Да все приложеня которые не слушают порты используют порты из /proc/sys/net/ipv4/ip_port_range - точно название не помню но какой-то port_range.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin