Anunţ

Caută printre mesajele de pe forum înainte de a scrie unul nou!
Formulează corect întrebarea sau problema pe care o ai.
Respectă regulile forumului și Codul de Conduită!

#1 11 Jun 2021 11:04:16

byte00
Membru
Locaţie: Cugir
Înregistrat: 03 Jun 2010
Mesaje: 189

Sfaturi Firewall Iptables cu ipset

Salutare,

In retea avem un server Ubuntu care ruteaza internetul catre clienti si totodata e si firewall.
Pentru a usura gestionarea adreselor ip care trebuie blocate sau permise am configurat ipset sa functioneze cu iptables.
Setup-ul asta isi face treaba chiar bine, doar ca recent am observat ca desi un anume ip este in setul ipset pentru blocare, trece mai departe catre serverul de mail.
Am observat asta pentru ca in fata serverului de mail avem un echipament Barracuda, care mi-l arata in log de fiecare data cand il prinde si il blocheaza.
Pana la urma este blocat, dar ar trebui sa fie blocat direct din firewall, fara a mai ajunge in Barracuda.

Imi puteti da un sfat cu privire la ce sa urmaresc pentru a-mi da seama de ce se intampla cele descrise?

Lista ipset este mare, dar totodata este configurata sa accepte un numar mare de ip-uri. Poate fi asta cauza?

Multumesc.

Editat ultima oară de byte00 (11 Jun 2021 12:29:09)

Offline

 

#2 12 Jun 2021 14:19:03

dim
Membru
Locaţie: Bucuresti
Înregistrat: 30 Oct 2007
Mesaje: 194

Re: Sfaturi Firewall Iptables cu ipset

Salut,

Nu stiu cum ai setat pe acolo regulile, dar vezi ca s-ar putea sa ai o regula care permite traficul, pusa inaintea celei care ii da deny.
Vezi daca te ajuta cumva ghidul acesta sa identifici unde se afla IP-ul pe care il doresti sa fie blocat.
Ca alternativa, daca serverul/firewall-ul devine complicat de operat, ar fi bine sa te orientezi spre o distributie dedicata pentru asa ceva cum ar fi OPNsense sau OpenWRT.

Offline

 

#3 14 Jun 2021 08:12:12

byte00
Membru
Locaţie: Cugir
Înregistrat: 03 Jun 2010
Mesaje: 189

Re: Sfaturi Firewall Iptables cu ipset

Multumesc pentru sfaturi. Am rezolvat pana la urma.

Offline

 

#4 14 Jun 2021 12:06:31

dim
Membru
Locaţie: Bucuresti
Înregistrat: 30 Oct 2007
Mesaje: 194

Re: Sfaturi Firewall Iptables cu ipset

Daca nu e confidential... poate ne spui si solutia, in caz ca cineva se intalneste cu aceeasi problema, sa aiba de unde se inspira.

Offline

 

#5 14 Jun 2021 13:07:38

byte00
Membru
Locaţie: Cugir
Înregistrat: 03 Jun 2010
Mesaje: 189

Re: Sfaturi Firewall Iptables cu ipset

dim a scris:

Daca nu e confidential... poate ne spui si solutia, in caz ca cineva se intalneste cu aceeasi problema, sa aiba de unde se inspira.

Da, cum sa nu, dar trebuie sa descriu un pic configuratia.

Folosesc iptables cu ipset pentru gestionarea facila de liste mari (seturi) de ip-uri de pe care vin atacuri fie pe server (pe chain-ul INPUT), fie in retea (pe chain-ul FORWARD). Astfel folosind ipset, in iptables se adauga doar o singura regula care sa faca un match pe setul/seturile de ip-uri din ipset. Avantajul doi, este ca seturile ipset pot fi foarte mari (blacklistul meu are 560000 de intrari, pe care pot sa o pun la dispozitia cui are nevoie), se incarca in RAM, folosind un procent relativ mic din RAM si de acolo se citeste foarte usor si repede.

Intentia initiala mi-a fost sa blochez atacurile venite din afara, si am facut mai multe seturi blacklist (unele se actualizeaza din bazele de date cele mai cunoscute iar intr-unul pun eu manual). Dar mai apoi crescand in dimensiuni, am avut nevoie si de un set whitelist prin care permit unele conexiuni, ca de exemplu serverele yahoo, care de regula se gasesc listate in multe baze de date.

Cand am definit regulile in iptables, in privinta setului whitelist am avut urmatoarele, atat pe src cat si pe dst, astfel:

-A whitelist -m set --match-set whitelist src -j ACCEPT
-A whitelist -m set --match-set whitelist dst -j ACCEPT

Faptul ca am dezactivat a doua regula (dst) mi-a rezolvat problema.

Pentru cine vrea sa isi faca un firewall bun, ipset e minunat.

Editat ultima oară de byte00 (14 Jun 2021 13:09:44)

Offline

 

#6 14 Jun 2021 17:42:40

dim
Membru
Locaţie: Bucuresti
Înregistrat: 30 Oct 2007
Mesaje: 194

Re: Sfaturi Firewall Iptables cu ipset

Ca idee... daca ai vreun daemon deschis in internet pe serverul Ubuntu, poti bloca accesul din exteriorul Romaniei la el folosind o lista de geoip. Nu stiu use-case-ul tau, dar poate te ajuta daca toti clientii sunt in RO. Uite un exemplu

Offline

 

#7 14 Jun 2021 20:05:09

byte00
Membru
Locaţie: Cugir
Înregistrat: 03 Jun 2010
Mesaje: 189

Re: Sfaturi Firewall Iptables cu ipset

dim a scris:

Ca idee... daca ai vreun daemon deschis in internet pe serverul Ubuntu, poti bloca accesul din exteriorul Romaniei la el folosind o lista de geoip. Nu stiu use-case-ul tau, dar poate te ajuta daca toti clientii sunt in RO. Uite un exemplu

Da, iptables e o unealta foarte utila.

Ceva de felul asta se poate si cu ipset si cu listele ipdeny.com

Un bun exemplu se gaseste AICI.

Offline

 
Feed

Antet forum

Powered by FluxBB