Ma niekto skusenost s extremne velkymi iptabulkami pod linuxom ? Momentelne som si dal za ulohu, preniest ochranu PeerGuardiana { MoBlock } z jednotlivych PC po dome do linuxackej masiny, ktora funguje ako NAT router, a tak centralne chranit celu LAN. Spravil som si Bash skript ktory stiehol vsetky potrebne textove subory obsahujuce zoznami "zlych" ip adries, a naparsoval z toho do druheho skriptu ktory vytvoril druhy bash skript s pod sebov usporiadanymi prikazmi vlozenia do iptables:
example:
/sbin/iptable -t nat -A POSTROUTING -m iprange --dst-range <<NAPARSOVANA IP>> -j DROP
/sbin/iptable -t nat -A POSTROUTING -m iprange --dst-range <<NAPARSOVANA IP>> -j DROP
....
a mam teraz takto 364522 riadkov kodu co nieco vklada do iptables ... a cim to viac plni, tym to ide pomalsie { nie samotna filtracia, ale to vkladanie }
Z toho co som sa docital na nete tak iptables pouziva pri porovnavani hash tabulky takze s rychlostou zatial predpokladam ze po naplneni nebude problem { naplnil som ich zatial cca 70000 riadkami a ani rychlost ani pingy sa nezhorsili. } ale to vkladanie uz trva MOOOOC dlho, zacalo to tak ze vlozil cca 100 riadkov za sekundu a pri 60000 zazname uz vklada iba 1 za sekundu { najskor teda sposobene tym ze pri kazdom vlozeni si iptabulky asi prerabaju hast tabulku } ... touto rychlostou to nie je prakticke { linearnym spomalovanim skoncim za niekolko dni! }.. takze poradste :( . ako to tam narvem ?
PS: skusil som prepisat moj bash skript na C aplikaciu a vykonavat volania /sbin/iptables cez fork() a execlp() .. ale to bol uz pokus zo zufalstva
PS: tusim ze by sa snad dali binarne editovat subory do ktorych sa ukladaju iptable rules pri shutdowne systemu ... je toto dobra cesta? robil toto niekto ? S tymto neviem zacat
naplenie iptables 364522 pravidlami
First they ignore you..
Then they laught at you...
Then they fight you...
Then you win.
Ghandi
Pre pridávanie komentárov sa musíte prihlásiť.
deny all, allow secure - to je paranoja.
Je to zoznam zozbieranych IP adries, pre ktore je zname ze patria dajakej nie pre nasu bezpecnost a sukromie nevhodnej entite. { NSA,CIA,RIAA,MPAA,Microsoft,spyware/adware servery, agresivne reklamy a IP z ktorych sa casto siri spam }. A komunita ludi sa uz dlhodobejsie snazi vytvarat a udrziavat velmi rozsiahli zoznam tychto IP. Takze o to co sa tu snazim je nadstavba nad klasicke fungovanie Firewalu.
V skratke :
1) Moj Firewall ma robit to same ako kazdy iny firawall pre LAN, blokovat vsetko pristup z vonka { az na par vybratych portov }
2) { toto je to co schcem pridat } Zablokovat { DROPnut } vsetky pakety ktore by chceli ist z/do IP z tohoto velmi rozsiahleho zoznamu.
ak ja osobne potrebujem mat chraneny komp, tak z neho vyhodim vsetky nepotrebne sluzby. ak ho chcem mat chraneny lepsie, tak si nan povolim pristup len z urcitych adries a portov. a tej komunity sa opytaj ci si vazne myslia ze NSA,CIA,RIAA,MPAA,Microsoft nevedia pouzit iny rozsah IP a kolko percent klientskych pocitacov co su priamo napojene na net je sucastou botnetu. myslim ze tie dve odpovede podfarbia snazenie.
posli mi tie subory s ipkami na icq.
ps.: to co pouzivam ja osobne sa asi nezlucuje s niektorymi typmi distribucie po p2p.
K tvojim pripomienkam:
A) Ano technicky su mozne ze si ich zmenia, ale nie je to take caste, hlavne s ubudajucou sa zasobou IPv4 a pri dennych updatoch tych zoznamov je stale mensia sanca ze to prave ty schytas.
B) Tie zoznami su dost rozsiahle a btw .. to nie je 364522 IP adries ale 364522 IP rozsahov ;) takze tych IP je tam pozehnane, na jedno zvucnejsie meno { ratal som tusim Cisco Systems } pripadne par tisic.
C) Este raz opakujem ze nejde o ochranu systemu ako takeho, skor o sukromie a zabranenie nahodneho spojenia/preniknutia udajou pri nahodnom pouzivani roznych internetovych vymozenosti k nevhodnym entitam. Take votrenie sa do torrentov dajakej MPAA ked seedujem linuxy alebo taham knihy teda nemusim,a potom o odposielanie udajov zo spyware-friendly windows PC tu na lokalke von do netu by som tiez mal aspon o nieco viac pokoj.
D) icq nemam, use wget | gunzip
PS.: tie zoznamy sa vytvaraju asi len pre falosny pocit. nieco ako keby som si ja sam mapoval pokrytie dopravnych liniek samotnymi vodicmi pretoze niektory z nich divoko brzdia v zakrutach a necakaju kym clovek dobehne od obchodu do dostavniku.
Example vyuzitia : Ste na torrentoch a na tracker { do swarmu } sa pripoji "media defender" tak predsa mu neumoznim aby so mnou zdielal alebo dostal z mojho klienta info o mne ;). Preto zakazem vsetky pakety smerom do netu iduce na takuto "zlu" IP.
ja osobne nie. bezpecnost nepozna vynimky, bezpecnost pozna pravidla.
:Example vyuzitia : Ste na torrentoch a na tracker
ano, p2p som spominal. ak pouzivas nejakeho inteligentneho klienta, tak ten to ma v sebe a nemusis sa trapit s dynamicky meniacimi sa nepotrebnymi zoznamami.
:lebo dostal z mojho klienta info o mne ;)
tvoj optimizmus by som chcel mat. ak tie spolocnosti chcu zrovna o tebe zistit ze mas linux, tak si to zistia. ak sa bojis ze na teba prijdu pri zdielani (pozor nie pri stahovani) chraneneho obsahu, tak taketo nieco ti poskytne skutocne len falosny pocit bezpecia.
ale ak chces verit niecomu co je v svojej podstate nedokonale a odsudene na nefunkcionalitu, ja ti vieru brat nebudem. zijeme predsa v katolicistane a viera zakladom statneho zriadenia, uz ju aj povinne vyucuju na skolach.
Mozme sa vratit teda k tomuto?
A) Nie je to vobec silna bezpecnost .. ale moze teoreticky pri pravidelnom update tych IP listoch niekde pomoct { napr spam }
B) Neviem aj tak ako robit takto velke iptables .. viete niekto dajaky napad ako to spravit ? Ci to je k niecomu dobre zhodnotime az ked to bude, co poviete ? ;-)
Za primeranu odmenu som to ochotny naprogramovat (1200,- Sk bez DPH za hod., odhadovany cas 6 hodin vratane dokumentacie a testovania).
K rieseniu asi tolko ze ten modul je pekna myslienka, ale neviem naco by mal byt potrebny kezde iptabulky zatial sami o sebe to stihaju { len to naplenie je strasne }, dnes rano ten skript presiel hranicu ~100k ip rozsahov { skript bezi teraz 14hodin cisteho casu }, a na experimentalnej pentiumII 400Mhz, 128MB Ram pri NAT-ovani 3-ch PC rychlost ani pingy neklesli. Takze potrebujem system ako naplnit tie tabulky rychlejsie, nepotrebujem vlastny filter. Takze skor kuknem dokumentaciu po strukture soborov v ktorych si iptables odkladaju obsah pri reboote a editnem tie.
AJ ked to vidim az tak ze az po letnom semestri :). Zatial sa to v tom routriku pomalicky loaduje, tak som zvedavy ako to dopadne :)
Vidim to ale tak ze ten file odteraz chodi aj na zalohy :) { BTW, toto je vlastne ten subor ktory by som chcel vediet editovat }
.. a nakodil som si uz skript ktory robi updaty tychto velkych iptables, a to tak ze stiahne nove zoznami, najde len zmeny a len upravi, takze pri updatoch to vobec nemusi trvat dlho.
wget http://www.bluetack.co.uk/config/ads-trackers-and-bad-pr0n.gzwget http://www.bluetack.co.uk/config/bogon.gz
wget http://www.bluetack.co.uk/config/dshield.gz
wget http://www.bluetack.co.uk/config/edu.gz
wget http://www.bluetack.co.uk/config/hijacked.gz
wget http://www.bluetack.co.uk/config/iana-multicast.gz
wget http://www.bluetack.co.uk/config/iana-private.gz
wget http://www.bluetack.co.uk/config/iana-reserved.gz
wget http://www.bluetack.co.uk/config/level1.gz
wget http://www.bluetack.co.uk/config/level2.gz
wget http://www.bluetack.co.uk/config/level3.gz
wget http://www.bluetack.co.uk/config/Microsoft.gz
wget http://www.bluetack.co.uk/config/rangetest.gz
wget http://www.bluetack.co.uk/config/spider.gz
wget http://www.bluetack.co.uk/config/spyware.gz
wget http://www.bluetack.co.uk/config/templist.gz
wget http://www.bluetack.co.uk/config/trojan.gz