[gentoo-user-ru] port forwarding to loopback

[gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Приветствую.

Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
другой порт средствами фаервола. Есть такое правило:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22

но оно не работает. Google говорит что ядро блокирует пакеты на
лупбэк если src ip != 127/8.

Конфиг sshd править каждый раз после апдейта не хочется, xinetd
заводить тоже.

Есть еще варианты?

-- 
Sergey

Re: [gentoo-user-ru] port forwarding to loopback

[Andrey Zloy]

у меня вот так.
$IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722
-j DNAT --to-destination $INET_IP:22
где INET_IP есть внешний адрес сервера


28 апреля 2009 г. 18:18 пользователь Sergey A. Kobzar
<sergey.kobzar@mail.ru> написал:
> Приветствую.
>
> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
> другой порт средствами фаервола. Есть такое правило:
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22
>
> но оно не работает. Google говорит что ядро блокирует пакеты на
> лупбэк если src ip != 127/8.
>
> Конфиг sshd править каждый раз после апдейта не хочется, xinetd
> заводить тоже.
>
> Есть еще варианты?
>
> --
> Sergey
>
>
>

Re: [gentoo-user-ru] port forwarding to loopback

[Konstantin Astafjev]

Hello Sergey,

Tuesday, April 28, 2009, 17:18:27, you wrote:
> Приветствую.

> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
> другой порт средствами фаервола. Есть такое правило:

> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22

> но оно не работает. Google говорит что ядро блокирует пакеты на
> лупбэк если src ip != 127/8.

> Конфиг sshd править каждый раз после апдейта не хочется, xinetd
> заводить тоже.

> Есть еще варианты?

Вариантов много. Наиболее популярные на мой взгяд:

1. Сменить порт, на котором будет sshd можно поменяв параметр Port 22
в файле /etc/ssh/sshd_config

2. Кому-то больше нравится устанавливать denyhosts или fail2ban.
Denyhosts например сканирует лог подключений и в случае 3 неудачных
попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP
станет невозможным установить SSH соединение.

3. Различные игры с iptables и возможно даже ipset. Можно написать
множество хитрых правил, которые в самом простом случае будут просто
ограничивать кол-во входящих SSH соединений с одного IP в минуту. И
так далее.

-- 
Konstantin Astafjev

Re[2]: [gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Тогда нужно открывать 22 порт для всех - смысл в таком правиле?

Tuesday, April 28, 2009, 5:44:09 PM, Andrey wrote:

> у меня вот так.
> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722
> -j DNAT --to-destination $INET_IP:22
> где INET_IP есть внешний адрес сервера


> 28 апреля 2009 г. 18:18 пользователь Sergey A. Kobzar
> <sergey.kobzar@mail.ru> написал:
>> Приветствую.
>>
>> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
>> другой порт средствами фаервола. Есть такое правило:
>>
>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22
>>
>> но оно не работает. Google говорит что ядро блокирует пакеты на
>> лупбэк если src ip != 127/8.
>>
>> Конфиг sshd править каждый раз после апдейта не хочется, xinetd
>> заводить тоже.
>>
>> Есть еще варианты?
>>
>> --
>> Sergey


-- 
Sergey

Re[2]: [gentoo-user-ru] port forwarding to loopback

[Konstantin Astafjev]

Hello Konstantin,

Tuesday, April 28, 2009, 17:52:02, you wrote:
>> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
>> другой порт средствами фаервола.

Прошу прощения, невнимательно прочитал ваше письмо. :) Пример Андрея
гораздо точнее отвечает на ваш вопрос.

-- 
Konstantin Astafjev

Re[2]: [gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Tuesday, April 28, 2009, 5:52:02 PM, Konstantin wrote:

> Hello Sergey,

> Tuesday, April 28, 2009, 17:18:27, you wrote:
>> Приветствую.

>> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
>> другой порт средствами фаервола. Есть такое правило:

>> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22

>> но оно не работает. Google говорит что ядро блокирует пакеты на
>> лупбэк если src ip != 127/8.

>> Конфиг sshd править каждый раз после апдейта не хочется, xinetd
>> заводить тоже.

>> Есть еще варианты?

> Вариантов много. Наиболее популярные на мой взгяд:

> 1. Сменить порт, на котором будет sshd можно поменяв параметр Port 22
> в файле /etc/ssh/sshd_config

Этого то как раз и хочется избежать - старый стал, память плохая -
обновил ssh, забыл конф поменять, рестартанул демон и закончился
коннект :)


> 2. Кому-то больше нравится устанавливать denyhosts или fail2ban.
> Denyhosts например сканирует лог подключений и в случае 3 неудачных
> попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP
> станет невозможным установить SSH соединение.

Где-то с месяц назад у меня практически на всех серверах была
bruteforce атака - по 3-5 коннектов с одного хоста, перебор по
алфавиту, далее эстафету продолжает уже другой бот.

В данный момент самое эфективное - слушать другой порт.


> 3. Различные игры с iptables и возможно даже ipset. Можно написать
> множество хитрых правил, которые в самом простом случае будут просто
> ограничивать кол-во входящих SSH соединений с одного IP в минуту. И
> так далее.

Ограничение числа коннектов с одного адреса - плохой вариант.



-- 
Sergey

Re[3]: [gentoo-user-ru] port forwarding to loopback

[Konstantin Astafjev]

Hello Sergey,

Tuesday, April 28, 2009, 17:59:28, you wrote:
>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722
>> -j DNAT --to-destination $INET_IP:22
>> где INET_IP есть внешний адрес сервера

> Тогда нужно открывать 22 порт для всех - смысл в таком правиле?

В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт.
iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP

В результате пройдут только пакеты идущие на порт 7722.

-- 
Konstantin Astafjev
LTMD Networks UAB
Kapsu 21-24, LT-02166 Vilnius
tel.: +370 68346806
konstantin@astafjev.com

Re[3]: [gentoo-user-ru] port forwarding to loopback

[Konstantin Astafjev]

Hello Sergey,

Tuesday, April 28, 2009, 18:05:49, you wrote:
>> Вариантов много. Наиболее популярные на мой взгяд:

>> 1. Сменить порт, на котором будет sshd можно поменяв параметр Port 22
>> в файле /etc/ssh/sshd_config

> Этого то как раз и хочется избежать - старый стал, память плохая -
> обновил ssh, забыл конф поменять, рестартанул демон и закончился
> коннект :)

Понял.

>> 2. Кому-то больше нравится устанавливать denyhosts или fail2ban.
>> Denyhosts например сканирует лог подключений и в случае 3 неудачных
>> попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP
>> станет невозможным установить SSH соединение.

> Где-то с месяц назад у меня практически на всех серверах была
> bruteforce атака - по 3-5 коннектов с одного хоста, перебор по
> алфавиту, далее эстафету продолжает уже другой бот.

> В данный момент самое эфективное - слушать другой порт.

Имею в наличии достаточно много серверов в различных странах, с таким
сканированием от ботнетов не сталкивался. Но вполне допускаю
возможность.

>> 3. Различные игры с iptables и возможно даже ipset. Можно написать
>> множество хитрых правил, которые в самом простом случае будут просто
>> ограничивать кол-во входящих SSH соединений с одного IP в минуту. И
>> так далее.

> Ограничение числа коннектов с одного адреса - плохой вариант.

Тогда можно написать правило, которое просто добавит назойливый IP в
определённый ipset. И другое правило iptables будет c IP из этого
ipset'а обращаться более грубо.

Тогда может в вашем случае лучшим решением будет установка
net-misc/knock ? ;)

-- 
Konstantin Astafjev

Re[4]: [gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote:

> Hello Sergey,

> Tuesday, April 28, 2009, 17:59:28, you wrote:
>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722
>>> -j DNAT --to-destination $INET_IP:22
>>> где INET_IP есть внешний адрес сервера

>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле?

> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт.
> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP

> В результате пройдут только пакеты идущие на порт 7722.

А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22?
Или это уже POSTROUTING?


-- 
Sergey

Re[5]: [gentoo-user-ru] port forwarding to loopback

[Konstantin Astafjev]

Hello Sergey,

Tuesday, April 28, 2009, 18:21:45, you wrote:
> Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote:

>> Hello Sergey,

>> Tuesday, April 28, 2009, 17:59:28, you wrote:
>>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722
>>>> -j DNAT --to-destination $INET_IP:22
>>>> где INET_IP есть внешний адрес сервера

>>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле?

>> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт.
>> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP

>> В результате пройдут только пакеты идущие на порт 7722.

> А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22?
> Или это уже POSTROUTING?

В PREROUTING насколько помню сначала идёт mangle затем nat. Что есть
"<public_ip>:22"?

-- 
Konstantin Astafjev

Re[4]: [gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Tuesday, April 28, 2009, 6:21:13 PM, Konstantin wrote:

>>> 2. Кому-то больше нравится устанавливать denyhosts или fail2ban.
>>> Denyhosts например сканирует лог подключений и в случае 3 неудачных
>>> попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP
>>> станет невозможным установить SSH соединение.

>> Где-то с месяц назад у меня практически на всех серверах была
>> bruteforce атака - по 3-5 коннектов с одного хоста, перебор по
>> алфавиту, далее эстафету продолжает уже другой бот.

>> В данный момент самое эфективное - слушать другой порт.

> Имею в наличии достаточно много серверов в различных странах, с таким
> сканированием от ботнетов не сталкивался. Но вполне допускаю
> возможность.

К сожалению сейчас показать не могу - логи и репорты месяц только
хранятся, но блокирование по числу коннектов с IP в единицу времени
не спасало...


>>> 3. Различные игры с iptables и возможно даже ipset. Можно написать
>>> множество хитрых правил, которые в самом простом случае будут просто
>>> ограничивать кол-во входящих SSH соединений с одного IP в минуту. И
>>> так далее.

>> Ограничение числа коннектов с одного адреса - плохой вариант.

> Тогда можно написать правило, которое просто добавит назойливый IP в
> определённый ipset. И другое правило iptables будет c IP из этого
> ipset'а обращаться более грубо.

> Тогда может в вашем случае лучшим решением будет установка
> net-misc/knock ? ;)

:) еще один демон в системе...

Ладно, буду думать. Просто в других OS'ях все обходилось одним-двумя
правилами фаера, а вот ядро Linux решило что умнее меня и принимать на
лупбэк пакеты с src ip !=127/8 не хочет. Не люблю когда за меня решают.


-- 
Sergey

Re[6]: [gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Tuesday, April 28, 2009, 6:28:28 PM, Konstantin wrote:

> Hello Sergey,

> Tuesday, April 28, 2009, 18:21:45, you wrote:
>> Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote:

>>> Hello Sergey,

>>> Tuesday, April 28, 2009, 17:59:28, you wrote:
>>>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722
>>>>> -j DNAT --to-destination $INET_IP:22
>>>>> где INET_IP есть внешний адрес сервера

>>>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле?

>>> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт.
>>> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP

>>> В результате пройдут только пакеты идущие на порт 7722.

>> А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22?
>> Или это уже POSTROUTING?

> В PREROUTING насколько помню сначала идёт mangle затем nat. Что есть
> "<public_ip>:22"?

Да, так получилось - спасибо :)

<public_ip>:22 - это внешний интерфейс, 22 порт.


-- 
Sergey

Re: [gentoo-user-ru] port forwarding to loopback

[Anton Kvashin]

Sergey A. Kobzar пишет:
> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
> другой порт средствами фаервола. Есть такое правило:
> 
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22
> 
> но оно не работает. Google говорит что ядро блокирует пакеты на
> лупбэк если src ip != 127/8.
> 
> Конфиг sshd править каждый раз после апдейта не хочется, xinetd
> заводить тоже.
> 
> Есть еще варианты?

Создайте dummy интерфейс и работайте в iptables с ним

-- 
Anton Kvashin

Re: [gentoo-user-ru] port forwarding to loopback

[Alex Efros]

Hi!

Ещё одно решение - перейти на авторизацию по ключам, а авторизацию по
паролю отключить вообще. Тогда все боты ломающие ssh дружно идут лесом и
весь вред от них сводится к замусориванию логов.

P.S. Поскольку достаточно часто возникают вопросы по настройке iptables,
думаю стоит обратить внимание народа на маленькую и очень полезную
табличку, описывающую последовательность выполнения разных разделов
iptables для локальных/внешних/промежуточных пакетов:
    http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES

-- 
			WBR, Alex.

Re[2]: [gentoo-user-ru] port forwarding to loopback

[Sergey A. Kobzar]

Saturday, May 2, 2009, 7:07:37 AM, Alex wrote:

> Hi!

> Ещё одно решение - перейти на авторизацию по ключам, а авторизацию по
> паролю отключить вообще. Тогда все боты ломающие ssh дружно идут лесом и
> весь вред от них сводится к замусориванию логов.

Не всегда это удобно. Например я так и не нашел способа
проэкспортировать ssh key на свой мобильник :)

Да и бывают случаи когда соединиться надо срочно откуда угодно, а ноут
с собой не всегда есть.


> P.S. Поскольку достаточно часто возникают вопросы по настройке iptables,
> думаю стоит обратить внимание народа на маленькую и очень полезную
> табличку, описывающую последовательность выполнения разных разделов
> iptables для локальных/внешних/промежуточных пакетов:
>     http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES

http://iptables-tutorial.frozentux.net/iptables-tutorial.html#TRAVERSINGGENERAL
ниже табличек картинка - первоисточник. Здесь красивее да и поновее будет ;)

-- 
Sergey