[d | an-b-bro-fr-gf-hr-l-m-maid-med-mi-mu-ne-o-old_o-p-ph-r-s-sci-sp-t-tran-tv-w-x | bg-vg | au-mo-tr | a-aa-abe-azu-c-dn-fi-hau-jp-ls-ma-me-rm-sos-tan-to-vn | misc-tenma-vndev | dev-stat]
[Burichan] [Futaba] [Gurochan] [Tomorrow] [Архив-Каталог-RSS] [Главная]

Файл: rzz83.png -(112 KB, 726x1443, rzz83.png)
112 No.198389  

Темы посвященной файрволам вообще и iptables в частности не нашел, так что пусть будет здесь.

И сразу вопрос. У меня, среди правил iptables имеется вот такая цепочка:

-A chk_attack -m conntrack --ctstate INVALID -j is_attack
-A chk_attack -f -j is_attack
-A chk_attack -p tcp --tcp-flags ALL ALL -j is_attack
-A chk_attack -p tcp --tcp-flags ALL NONE -j is_attack
-A chk_attack -p tcp ! --syn -m conntrack --ctstate NEW -j is_attack

Она применяется ко всему, что попало в INPUT или FORWARD. Собственно вопрос: насколько такой набор правил эффективен и велика ли вероятность false positive? Что тут следует добавить/убавить?

Сейчас я поднял ipfs-ноду и вижу, что где-то треть пакетов, пришедших на 4001 порт, эти правила блокируют. Мешает ли это работе ноды — без понятия. Вроде работает, но насколько эффективно?

>> No.198417  

У меня человеческий фаервол с человеческим интерфейсом. Его можно даже не настраивать. А если решишься то достаточно элементарных знаний и мышки. Правда он больше не поддерживается и не обновляет файлы автокофигурации. Так что все новые программы он считает неизвестными и подозрительными. Приходится настраивать вручную.

После него никак не могу к другим привыкнуть, где нужно всё помногу раз одно и тоже ручками вводить и даже нету масок подсети.

>> No.198419  

Покажи счетчики для этих правил. iptables -L -n -v
>>198417

> У меня человеческий фаервол с человеческим интерфейсом. Его можно даже не настраивать.

Это как не настраивать? Может отключить его лучше в этом случае?

> нужно всё помногу раз одно и тоже ручками вводить и даже нету масок подсети.

Можно копипастить текстовый конфиг же.

>> No.198420  

>>198419

>Это как не настраивать?

За меня его создатели настраивали. Это для блондинок. Всегда можно было что да как и ручками всё поправить.

>Можно копипастить текстовый конфиг же.

Всёравно ведь от одного фаера к другому конфиги не подходит. Первый раз нужно в ручную настраивать. А после графического удобного и лаконичного интерфейса стены текстовой копипасты выглядят и воспринимаются не иначе как дикость. Вот имеется например программа, для которой нужно настроить правила сетевого доступа. Одно дело протоколы указать и маски сетевые с направлениями и совсем другое для каждого используемого ею айпишника из диапазона вручную прописывать. Потому к примеру вcтроенные в авиру и нод фаерволы меня жутко бесят. Зажрался, да.

>> No.198424  

>>198419

>Покажи счетчики для этих правил. iptables -L -n -v
Chain chk_attack (2 references)
pkts bytes target prot opt in out source destination
17194 1248K is_attack all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 is_attack all -f * * 0.0.0.0/0 0.0.0.0/0
0 0 is_attack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
0 0 is_attack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
7536 856K is_atkack tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 ctstate NEW

Хм… Отсеивает пакеты, как можно видеть, первое и последнее правила.
Первое, наверное, делает это правильно. Пакеты со статусом INVALID — это ведь мусор, так?
А вот последнее — я не уверен (с самого начала подозревал, что с ним что-то не так). Возможно, от потенциального syn-флуда лучше защищаться как-то иначе…
Нода ipfs периодически ругается, что "no addresses on peer being sent", возможно, как раз из-за этого.

>>198417

>все новые программы он считает неизвестными и подозрительными

Как сказал кто-то, уже не помню кто: «Под линуксом люди ставят файрволл, чтобы не пускать к себе из сети всяких зловредов, под виндос — чтобы не выпускать их наружу…»

>нужно всё помногу раз одно и тоже ручками вводить

Угу, да еще и не просто вводить много раз, а в десятки разных мелких окошечек, каждое из которых еще мышью ткнуть нужно, чтобы его открыть. Знаем, плавали.
За что и не люблю GUI в таких делах.

>даже нету масок подсети

Жесть…

>> No.198426  

>>198424

> Пакеты со статусом INVALID — это ведь мусор, так?

Так.
Invalid: If none of the previous states (NEW, ESTABLISHED, RELATED) apply the packet is in state INVALID. This could be caused by various types of stealth network probes, or it could mean that you're running out of CONNTRACK entries (which you should also see stated in your logs). Or it may simply be entirely benign.

Второе правило можно погуглить по "new not syn". С ним не всё так однозначно.

>> No.198427  

>>198426
Второе - т.е. последнее.

>> No.198447  

>>198419
Кстати да, вот так поставишь автоматический режим в каком-нибудь комплексном продукте защиты, заглядываешь в конфиг а там "разрешить всё". Нужно аккуратнее с такими штуками, всегда следить и проверять за незнакомыми фаерфолами.




[d | an-b-bro-fr-gf-hr-l-m-maid-med-mi-mu-ne-o-old_o-p-ph-r-s-sci-sp-t-tran-tv-w-x | bg-vg | au-mo-tr | a-aa-abe-azu-c-dn-fi-hau-jp-ls-ma-me-rm-sos-tan-to-vn | misc-tenma-vndev | dev-stat]
[Burichan] [Futaba] [Gurochan] [Tomorrow] [Архив-Каталог-RSS] [Главная]