* [gentoo-user-ru] port forwarding to loopback
@ 2009-04-28 14:18 Sergey A. Kobzar
2009-04-28 14:44 ` Andrey Zloy
` (3 more replies)
0 siblings, 4 replies; 15+ messages in thread
From: Sergey A. Kobzar @ 2009-04-28 14:18 UTC (permalink / raw
To: gentoo-user-ru
Приветствую.
Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на
другой порт средствами фаервола. Есть такое правило:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22
но оно не работает. Google говорит что ядро блокирует пакеты на
лупбэк если src ip != 127/8.
Конфиг sshd править каждый раз после апдейта не хочется, xinetd
заводить тоже.
Есть еще варианты?
--
Sergey
^ permalink raw reply [flat|nested] 15+ messages in thread* Re: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:18 [gentoo-user-ru] port forwarding to loopback Sergey A. Kobzar @ 2009-04-28 14:44 ` Andrey Zloy 2009-04-28 14:59 ` Re[2]: " Sergey A. Kobzar 2009-04-28 14:52 ` Konstantin Astafjev ` (2 subsequent siblings) 3 siblings, 1 reply; 15+ messages in thread From: Andrey Zloy @ 2009-04-28 14:44 UTC (permalink / raw To: gentoo-user-ru у меня вот так. $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 -j DNAT --to-destination $INET_IP:22 где INET_IP есть внешний адрес сервера 28 апреля 2009 г. 18:18 пользователь Sergey A. Kobzar <sergey.kobzar@mail.ru> написал: > Приветствую. > > Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на > другой порт средствами фаервола. Есть такое правило: > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22 > > но оно не работает. Google говорит что ядро блокирует пакеты на > лупбэк если src ip != 127/8. > > Конфиг sshd править каждый раз после апдейта не хочется, xinetd > заводить тоже. > > Есть еще варианты? > > -- > Sergey > > > ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[2]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:44 ` Andrey Zloy @ 2009-04-28 14:59 ` Sergey A. Kobzar 2009-04-28 15:08 ` Re[3]: " Konstantin Astafjev 0 siblings, 1 reply; 15+ messages in thread From: Sergey A. Kobzar @ 2009-04-28 14:59 UTC (permalink / raw To: gentoo-user-ru Тогда нужно открывать 22 порт для всех - смысл в таком правиле? Tuesday, April 28, 2009, 5:44:09 PM, Andrey wrote: > у меня вот так. > $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 > -j DNAT --to-destination $INET_IP:22 > где INET_IP есть внешний адрес сервера > 28 апреля 2009 г. 18:18 пользователь Sergey A. Kobzar > <sergey.kobzar@mail.ru> написал: >> Приветствую. >> >> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на >> другой порт средствами фаервола. Есть такое правило: >> >> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22 >> >> но оно не работает. Google говорит что ядро блокирует пакеты на >> лупбэк если src ip != 127/8. >> >> Конфиг sshd править каждый раз после апдейта не хочется, xinetd >> заводить тоже. >> >> Есть еще варианты? >> >> -- >> Sergey -- Sergey ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[3]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:59 ` Re[2]: " Sergey A. Kobzar @ 2009-04-28 15:08 ` Konstantin Astafjev 2009-04-28 15:21 ` Re[4]: " Sergey A. Kobzar 0 siblings, 1 reply; 15+ messages in thread From: Konstantin Astafjev @ 2009-04-28 15:08 UTC (permalink / raw To: Sergey A. Kobzar Hello Sergey, Tuesday, April 28, 2009, 17:59:28, you wrote: >> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 >> -j DNAT --to-destination $INET_IP:22 >> где INET_IP есть внешний адрес сервера > Тогда нужно открывать 22 порт для всех - смысл в таком правиле? В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP В результате пройдут только пакеты идущие на порт 7722. -- Konstantin Astafjev LTMD Networks UAB Kapsu 21-24, LT-02166 Vilnius tel.: +370 68346806 konstantin@astafjev.com ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[4]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 15:08 ` Re[3]: " Konstantin Astafjev @ 2009-04-28 15:21 ` Sergey A. Kobzar 2009-04-28 15:28 ` Re[5]: " Konstantin Astafjev 0 siblings, 1 reply; 15+ messages in thread From: Sergey A. Kobzar @ 2009-04-28 15:21 UTC (permalink / raw To: gentoo-user-ru Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote: > Hello Sergey, > Tuesday, April 28, 2009, 17:59:28, you wrote: >>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 >>> -j DNAT --to-destination $INET_IP:22 >>> где INET_IP есть внешний адрес сервера >> Тогда нужно открывать 22 порт для всех - смысл в таком правиле? > В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. > iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP > В результате пройдут только пакеты идущие на порт 7722. А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22? Или это уже POSTROUTING? -- Sergey ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[5]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 15:21 ` Re[4]: " Sergey A. Kobzar @ 2009-04-28 15:28 ` Konstantin Astafjev 2009-04-28 21:43 ` Re[6]: " Sergey A. Kobzar 0 siblings, 1 reply; 15+ messages in thread From: Konstantin Astafjev @ 2009-04-28 15:28 UTC (permalink / raw To: Sergey A. Kobzar Hello Sergey, Tuesday, April 28, 2009, 18:21:45, you wrote: > Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote: >> Hello Sergey, >> Tuesday, April 28, 2009, 17:59:28, you wrote: >>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 >>>> -j DNAT --to-destination $INET_IP:22 >>>> где INET_IP есть внешний адрес сервера >>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле? >> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. >> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP >> В результате пройдут только пакеты идущие на порт 7722. > А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22? > Или это уже POSTROUTING? В PREROUTING насколько помню сначала идёт mangle затем nat. Что есть "<public_ip>:22"? -- Konstantin Astafjev ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[6]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 15:28 ` Re[5]: " Konstantin Astafjev @ 2009-04-28 21:43 ` Sergey A. Kobzar 0 siblings, 0 replies; 15+ messages in thread From: Sergey A. Kobzar @ 2009-04-28 21:43 UTC (permalink / raw To: gentoo-user-ru Tuesday, April 28, 2009, 6:28:28 PM, Konstantin wrote: > Hello Sergey, > Tuesday, April 28, 2009, 18:21:45, you wrote: >> Tuesday, April 28, 2009, 6:08:01 PM, Konstantin wrote: >>> Hello Sergey, >>> Tuesday, April 28, 2009, 17:59:28, you wrote: >>>>> $IPTABLES -t nat -A PREROUTING -p TCP -s 0/0 -d $INET_IP --dport 7722 >>>>> -j DNAT --to-destination $INET_IP:22 >>>>> где INET_IP есть внешний адрес сервера >>>> Тогда нужно открывать 22 порт для всех - смысл в таком правиле? >>> В PREROUTING раньше правила Андрея, можно запретить пакеты на 22 порт. >>> iptables -t mangle -I PREROUTING -d $INET_IP -p tcp --dport 22 -j DROP >>> В результате пройдут только пакеты идущие на порт 7722. >> А не попадут ли под DROP правила после DNAT, идущие на <public_ip>:22? >> Или это уже POSTROUTING? > В PREROUTING насколько помню сначала идёт mangle затем nat. Что есть > "<public_ip>:22"? Да, так получилось - спасибо :) <public_ip>:22 - это внешний интерфейс, 22 порт. -- Sergey ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:18 [gentoo-user-ru] port forwarding to loopback Sergey A. Kobzar 2009-04-28 14:44 ` Andrey Zloy @ 2009-04-28 14:52 ` Konstantin Astafjev 2009-04-28 15:03 ` Re[2]: " Konstantin Astafjev 2009-04-28 15:05 ` Sergey A. Kobzar 2009-04-29 4:44 ` Anton Kvashin 2009-05-02 4:07 ` Alex Efros 3 siblings, 2 replies; 15+ messages in thread From: Konstantin Astafjev @ 2009-04-28 14:52 UTC (permalink / raw To: Sergey A. Kobzar Hello Sergey, Tuesday, April 28, 2009, 17:18:27, you wrote: > Приветствую. > Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на > другой порт средствами фаервола. Есть такое правило: > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22 > но оно не работает. Google говорит что ядро блокирует пакеты на > лупбэк если src ip != 127/8. > Конфиг sshd править каждый раз после апдейта не хочется, xinetd > заводить тоже. > Есть еще варианты? Вариантов много. Наиболее популярные на мой взгяд: 1. Сменить порт, на котором будет sshd можно поменяв параметр Port 22 в файле /etc/ssh/sshd_config 2. Кому-то больше нравится устанавливать denyhosts или fail2ban. Denyhosts например сканирует лог подключений и в случае 3 неудачных попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP станет невозможным установить SSH соединение. 3. Различные игры с iptables и возможно даже ipset. Можно написать множество хитрых правил, которые в самом простом случае будут просто ограничивать кол-во входящих SSH соединений с одного IP в минуту. И так далее. -- Konstantin Astafjev ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[2]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:52 ` Konstantin Astafjev @ 2009-04-28 15:03 ` Konstantin Astafjev 2009-04-28 15:05 ` Sergey A. Kobzar 1 sibling, 0 replies; 15+ messages in thread From: Konstantin Astafjev @ 2009-04-28 15:03 UTC (permalink / raw To: Konstantin Astafjev Hello Konstantin, Tuesday, April 28, 2009, 17:52:02, you wrote: >> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на >> другой порт средствами фаервола. Прошу прощения, невнимательно прочитал ваше письмо. :) Пример Андрея гораздо точнее отвечает на ваш вопрос. -- Konstantin Astafjev ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[2]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:52 ` Konstantin Astafjev 2009-04-28 15:03 ` Re[2]: " Konstantin Astafjev @ 2009-04-28 15:05 ` Sergey A. Kobzar 2009-04-28 15:21 ` Re[3]: " Konstantin Astafjev 1 sibling, 1 reply; 15+ messages in thread From: Sergey A. Kobzar @ 2009-04-28 15:05 UTC (permalink / raw To: gentoo-user-ru Tuesday, April 28, 2009, 5:52:02 PM, Konstantin wrote: > Hello Sergey, > Tuesday, April 28, 2009, 17:18:27, you wrote: >> Приветствую. >> Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на >> другой порт средствами фаервола. Есть такое правило: >> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22 >> но оно не работает. Google говорит что ядро блокирует пакеты на >> лупбэк если src ip != 127/8. >> Конфиг sshd править каждый раз после апдейта не хочется, xinetd >> заводить тоже. >> Есть еще варианты? > Вариантов много. Наиболее популярные на мой взгяд: > 1. Сменить порт, на котором будет sshd можно поменяв параметр Port 22 > в файле /etc/ssh/sshd_config Этого то как раз и хочется избежать - старый стал, память плохая - обновил ssh, забыл конф поменять, рестартанул демон и закончился коннект :) > 2. Кому-то больше нравится устанавливать denyhosts или fail2ban. > Denyhosts например сканирует лог подключений и в случае 3 неудачных > попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP > станет невозможным установить SSH соединение. Где-то с месяц назад у меня практически на всех серверах была bruteforce атака - по 3-5 коннектов с одного хоста, перебор по алфавиту, далее эстафету продолжает уже другой бот. В данный момент самое эфективное - слушать другой порт. > 3. Различные игры с iptables и возможно даже ipset. Можно написать > множество хитрых правил, которые в самом простом случае будут просто > ограничивать кол-во входящих SSH соединений с одного IP в минуту. И > так далее. Ограничение числа коннектов с одного адреса - плохой вариант. -- Sergey ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[3]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 15:05 ` Sergey A. Kobzar @ 2009-04-28 15:21 ` Konstantin Astafjev 2009-04-28 15:40 ` Re[4]: " Sergey A. Kobzar 0 siblings, 1 reply; 15+ messages in thread From: Konstantin Astafjev @ 2009-04-28 15:21 UTC (permalink / raw To: Sergey A. Kobzar Hello Sergey, Tuesday, April 28, 2009, 18:05:49, you wrote: >> Вариантов много. Наиболее популярные на мой взгяд: >> 1. Сменить порт, на котором будет sshd можно поменяв параметр Port 22 >> в файле /etc/ssh/sshd_config > Этого то как раз и хочется избежать - старый стал, память плохая - > обновил ssh, забыл конф поменять, рестартанул демон и закончился > коннект :) Понял. >> 2. Кому-то больше нравится устанавливать denyhosts или fail2ban. >> Denyhosts например сканирует лог подключений и в случае 3 неудачных >> попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP >> станет невозможным установить SSH соединение. > Где-то с месяц назад у меня практически на всех серверах была > bruteforce атака - по 3-5 коннектов с одного хоста, перебор по > алфавиту, далее эстафету продолжает уже другой бот. > В данный момент самое эфективное - слушать другой порт. Имею в наличии достаточно много серверов в различных странах, с таким сканированием от ботнетов не сталкивался. Но вполне допускаю возможность. >> 3. Различные игры с iptables и возможно даже ipset. Можно написать >> множество хитрых правил, которые в самом простом случае будут просто >> ограничивать кол-во входящих SSH соединений с одного IP в минуту. И >> так далее. > Ограничение числа коннектов с одного адреса - плохой вариант. Тогда можно написать правило, которое просто добавит назойливый IP в определённый ipset. И другое правило iptables будет c IP из этого ipset'а обращаться более грубо. Тогда может в вашем случае лучшим решением будет установка net-misc/knock ? ;) -- Konstantin Astafjev ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[4]: [gentoo-user-ru] port forwarding to loopback 2009-04-28 15:21 ` Re[3]: " Konstantin Astafjev @ 2009-04-28 15:40 ` Sergey A. Kobzar 0 siblings, 0 replies; 15+ messages in thread From: Sergey A. Kobzar @ 2009-04-28 15:40 UTC (permalink / raw To: gentoo-user-ru Tuesday, April 28, 2009, 6:21:13 PM, Konstantin wrote: >>> 2. Кому-то больше нравится устанавливать denyhosts или fail2ban. >>> Denyhosts например сканирует лог подключений и в случае 3 неудачных >>> попыток заносит ip в файл /etc/hosts.deny в результате чего с этого IP >>> станет невозможным установить SSH соединение. >> Где-то с месяц назад у меня практически на всех серверах была >> bruteforce атака - по 3-5 коннектов с одного хоста, перебор по >> алфавиту, далее эстафету продолжает уже другой бот. >> В данный момент самое эфективное - слушать другой порт. > Имею в наличии достаточно много серверов в различных странах, с таким > сканированием от ботнетов не сталкивался. Но вполне допускаю > возможность. К сожалению сейчас показать не могу - логи и репорты месяц только хранятся, но блокирование по числу коннектов с IP в единицу времени не спасало... >>> 3. Различные игры с iptables и возможно даже ipset. Можно написать >>> множество хитрых правил, которые в самом простом случае будут просто >>> ограничивать кол-во входящих SSH соединений с одного IP в минуту. И >>> так далее. >> Ограничение числа коннектов с одного адреса - плохой вариант. > Тогда можно написать правило, которое просто добавит назойливый IP в > определённый ipset. И другое правило iptables будет c IP из этого > ipset'а обращаться более грубо. > Тогда может в вашем случае лучшим решением будет установка > net-misc/knock ? ;) :) еще один демон в системе... Ладно, буду думать. Просто в других OS'ях все обходилось одним-двумя правилами фаера, а вот ядро Linux решило что умнее меня и принимать на лупбэк пакеты с src ip !=127/8 не хочет. Не люблю когда за меня решают. -- Sergey ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:18 [gentoo-user-ru] port forwarding to loopback Sergey A. Kobzar 2009-04-28 14:44 ` Andrey Zloy 2009-04-28 14:52 ` Konstantin Astafjev @ 2009-04-29 4:44 ` Anton Kvashin 2009-05-02 4:07 ` Alex Efros 3 siblings, 0 replies; 15+ messages in thread From: Anton Kvashin @ 2009-04-29 4:44 UTC (permalink / raw To: gentoo-user-ru Sergey A. Kobzar пишет: > Надоели bruteforce атаки на 22 порт. Хотелось бы его перевесить на > другой порт средствами фаервола. Есть такое правило: > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to 127.0.0.1:22 > > но оно не работает. Google говорит что ядро блокирует пакеты на > лупбэк если src ip != 127/8. > > Конфиг sshd править каждый раз после апдейта не хочется, xinetd > заводить тоже. > > Есть еще варианты? Создайте dummy интерфейс и работайте в iptables с ним -- Anton Kvashin ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re: [gentoo-user-ru] port forwarding to loopback 2009-04-28 14:18 [gentoo-user-ru] port forwarding to loopback Sergey A. Kobzar ` (2 preceding siblings ...) 2009-04-29 4:44 ` Anton Kvashin @ 2009-05-02 4:07 ` Alex Efros 2009-05-02 8:03 ` Re[2]: " Sergey A. Kobzar 3 siblings, 1 reply; 15+ messages in thread From: Alex Efros @ 2009-05-02 4:07 UTC (permalink / raw To: gentoo-user-ru Hi! Ещё одно решение - перейти на авторизацию по ключам, а авторизацию по паролю отключить вообще. Тогда все боты ломающие ssh дружно идут лесом и весь вред от них сводится к замусориванию логов. P.S. Поскольку достаточно часто возникают вопросы по настройке iptables, думаю стоит обратить внимание народа на маленькую и очень полезную табличку, описывающую последовательность выполнения разных разделов iptables для локальных/внешних/промежуточных пакетов: http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES -- WBR, Alex. ^ permalink raw reply [flat|nested] 15+ messages in thread
* Re[2]: [gentoo-user-ru] port forwarding to loopback 2009-05-02 4:07 ` Alex Efros @ 2009-05-02 8:03 ` Sergey A. Kobzar 0 siblings, 0 replies; 15+ messages in thread From: Sergey A. Kobzar @ 2009-05-02 8:03 UTC (permalink / raw To: gentoo-user-ru Saturday, May 2, 2009, 7:07:37 AM, Alex wrote: > Hi! > Ещё одно решение - перейти на авторизацию по ключам, а авторизацию по > паролю отключить вообще. Тогда все боты ломающие ssh дружно идут лесом и > весь вред от них сводится к замусориванию логов. Не всегда это удобно. Например я так и не нашел способа проэкспортировать ssh key на свой мобильник :) Да и бывают случаи когда соединиться надо срочно откуда угодно, а ноут с собой не всегда есть. > P.S. Поскольку достаточно часто возникают вопросы по настройке iptables, > думаю стоит обратить внимание народа на маленькую и очень полезную > табличку, описывающую последовательность выполнения разных разделов > iptables для локальных/внешних/промежуточных пакетов: > http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES http://iptables-tutorial.frozentux.net/iptables-tutorial.html#TRAVERSINGGENERAL ниже табличек картинка - первоисточник. Здесь красивее да и поновее будет ;) -- Sergey ^ permalink raw reply [flat|nested] 15+ messages in thread
end of thread, other threads:[~2009-05-02 8:03 UTC | newest] Thread overview: 15+ messages (download: mbox.gz follow: Atom feed -- links below jump to the message on this page -- 2009-04-28 14:18 [gentoo-user-ru] port forwarding to loopback Sergey A. Kobzar 2009-04-28 14:44 ` Andrey Zloy 2009-04-28 14:59 ` Re[2]: " Sergey A. Kobzar 2009-04-28 15:08 ` Re[3]: " Konstantin Astafjev 2009-04-28 15:21 ` Re[4]: " Sergey A. Kobzar 2009-04-28 15:28 ` Re[5]: " Konstantin Astafjev 2009-04-28 21:43 ` Re[6]: " Sergey A. Kobzar 2009-04-28 14:52 ` Konstantin Astafjev 2009-04-28 15:03 ` Re[2]: " Konstantin Astafjev 2009-04-28 15:05 ` Sergey A. Kobzar 2009-04-28 15:21 ` Re[3]: " Konstantin Astafjev 2009-04-28 15:40 ` Re[4]: " Sergey A. Kobzar 2009-04-29 4:44 ` Anton Kvashin 2009-05-02 4:07 ` Alex Efros 2009-05-02 8:03 ` Re[2]: " Sergey A. Kobzar
This is a public inbox, see mirroring instructions for how to clone and mirror all data and code used for this inbox