Tűzal beállítás

Security-all

Sziasztok!

Olyan kérdésem lenne, hogy ti tudtok-e valami olyan beállítást csf-en vagy fail2ban-on ami ha egy IP-ről csatlakoznak egy olyan portra ami nincs engedélyezve (pl: ugye a 22-es, mert az ssh máshol van) akkor bannolja az IP-t egy életre?

  • 3283 megtekintés

( pirate | 2015. 02. 18., sze – 12:07 )

Nem hiszem, hogy ez jo otlet:
1. pillanatokon belul tele lesz szemetelve a tuzfalad -> lassul a halozati forgalom ha tul sok szabaly van
2. feltetelezem, hogy csak az adott portrol lesz kitiltva az IP, mert ha nem akkor olyan felhasznalok sem erik el a szervert akiknek el kellene (semmilyen porton sem)

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Mi az ertelme?
Ha olyan portra csatlakozik ahol amugysem fut semmi, akkor minek bannolni (a 22-est port peldad), ha meg olyan portra csatlakozik amin publikus szolgaltatas fut csak magaddal v. a megrendelovel b****l ki, mert esetleg egy potencialis ugyfelet bannolsz (pl. dinamikus IP, feltort gep, stb.)

Nem egyszerubb ha a csak sajat magad altal hasznalt portokat lekorlatozod nehany IP-re (pl. ssh) a tobbit meg a fail2ban elintezi par orara vagy esetleg tobb idore? A policy alapbol lehet deny.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

leszámítva, hogy mindent tiltunk amit nem engedünk. Miért is?
Van lukas program a rendszerben (pl apache+php+hibás script) aminek segítségével a támadó rábírja a géped, hogy letöltsön/indítson egy scriptet, ami elindít bizonyos porton (amit úgysem használsz) egy daemont, és máris be tud lépni a támadó.

nem véletlen szeretném ezt. ha valaki a weboldalát nézi akkor megy a 80asra, azt ugye nem tiltom, plusz az alap portokat, ha valakinek valami nem tetszik ír mailt... a többi porthoz meg senkinek semmi köze :) plusz védelem. inkább rinyáljanak azért mert ez van mint feltörjék a gépet :D

Jól értem, hogy ha egy IP-ről be akarnak menni a 22-esre, akkor onnantól minden az adott IP-ről jövő forgalmat el akarsz dobni?
Ha Gipsz Jakab rátalál a Googlen az oldaladra, de a dinamikus IP-jét fél éve kitiltottad, és ő csak annyit lát, hogy timeoutol a browsere, akkor szerinted nekiáll veled levelezni, vagy hagyja a francba?

Logold le a próbálkozásokat, és a fail2ban-ban a bantime legyen valami jó nagy, a banaction pedig iptables-allports!

Ettől függetlenül egy-egy eltévedt "próbálkozás" miatt az egekig növelni a tűzfalszabályok számát, nem hiszem, hogy érdemes. Ha nagyon be akarnak menni, úgyis a 80-ason fognak :)

( ncc1701 | 2015. 02. 18., sze – 12:15 )

Minek? Fail2banon űllítsd be, h banolja egy hétre. Esetleg geoip alapon tilthatod befele a net egy jó részét.

( mauser1 v | 2015. 02. 18., sze – 18:32 )

Nem csf se nem fail2.. , saját fejlesztés : http://hup.hu/node/137614
Ja és azon felül, hogy full automatizált saját magad is add adhatsz hozzá ip-ket .

Csak megjegyzem, nem kell minden egyes port hoz scriptet írni.
Azokon a portokon amelyiken, téged zavarna hogy próbálkoznak
$iptables –A INPUT –p tcp -i $ETH –dport xy –j LOG –log-prefix „[Hacker]”
, ezáltal ugyanúgy bannolja az ip-ket.
De lehet, hogy inkább számodra egy port scannelést felfedező, és tiltó alkalmazás kéne.