iptables

Sekcia: Konfigurácia 28.08.2007 | 14:48
troll   Návštevník
Cafte, tak ma teraz nieco napadlo a chcem sa spytat rady starsich a mudrejsich :)

Modelovy prikladik:

mam webovy server
chcem mat nan pristup len ja z mojej IPadresy

...

iptables -P INPUT DROP
iptables -A INPUT -p tcp -s $MOJA_IP --dport 80 -j ACCEPT

..

Je to naozaj bezpecne?
Cital som clanocek nocni-mura-jmenem-syn-flooding a tam pisu ze
Záškodníci jsou ovšem vynalézaví a tak SF zdokonalili o funkci zvanou IP spoofing, neboli falšování IP adres.
Za normálních okolností samozřejmě nelze dost dobře falšovat IP adresu, protože potřebujete, aby data 
dorazila na váš počítač (ovšem úplně vyloučeno to není). V okamžiku, kdy však vlastně o spojení nestojíte, 
není vůbec problém vydávat se třeba za Altavistu nebo Pentagon.
takze co ak UTOCNIK sfalsuje svoju IP adresu s mojou($MOJA_IP), bude tym padom moct pristupovat na moj webserver?

Viem ze tu by sa nejadnalo o syn-flooding, ale ked sa da podvrhnut IP adresa pre ten ucel
asi sa da aj na takyto ucel, alebo to nie je celkom realne?

Dakujem za vysvetlenie...
    • Re: iptables 28.08.2007 | 14:56
      Avatar uid0 Debian  Používateľ
      ja osobne si neviem predstavit ako by mohol dalej komunikovat, pretoze odpoved sa mu nikdy nevrati (jedine, ze by to spravil z gateway alebo na tej istej sieti kde je server :))

      no nechapem naco ti je server kde mozes ist len ty :) a tiez sa to da nastavit na urovni webserveru, tym ze povolis pristup len sebe v .htaccess
      Debian. apt-get into it…
      • Re: iptables 28.08.2007 | 16:34
        Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
        Kolega ma uplnu pravdu. Syn flooding sa pouziva na to, co uz naznacuje nazov a teda na flooding. Posiela sa teda vzdy iba prvy packet TCP spojenia (SYN), ktory este neobsahuje ziadne informacie. Server sice posle odpoved, ak utocnik vyuzije tvoju IP, ale ta odpoved pride tebe a nie jemu, takze nevie pokracovat v komunikacii. K udajom na serveri sa teda nedostane, ale moze ho zahltit. Proti tomu sa ale neda priamo u teba nijako branit a postarat sa o to musi tvoj ISP.
        Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
        • Re: iptables 28.08.2007 | 17:40
          troll   Návštevník
          ahaa, jo jasne sak odpoved by sla ku mne to je pravda...

          • Proti tomu sa ale neda priamo u teba nijako branit a postarat sa o to musi tvoj ISP.


          Ako to ze len ISP? a ked si tam rozbeham iptables a hodim nieco taketo:
          iptables -N syn-flood
          iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
          iptables -A syn-flood -m limit --limit 1/s --limit-burst 1 -j DROP
          iptables -A syn-flood -j DROP
          iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP

          alebo mi ani to nepomoze? :(
          • Re: iptables 28.08.2007 | 17:57
            Avatar Samuel BWPOW Kupka CentOS, Mandriva  Používateľ
            Tak ci tak musi tvoja sietova karta (ovladac) ten packet prijat, spracovat a poslat az do netfilteru a to utocnikovi uplne staci, kedze napriklad pri tejto tvojej konfiguracii v pripade utoku uplne odpojis server aj pre legitimnych uzivatelov (seba). Cize to bude klasicky DoS.

            Dalsia vec je, ze ten posledny riadok nedava zmysel, kedze pri tcp je state NEW vlastne ekvivalent --syn.
            Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity
            • Re: iptables 28.08.2007 | 18:04
              troll   Návštevník
              a takto:
              iptables -N syn-flood
              iptables -F syn-flood
              iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
              iptables -A syn-flood -j DROP

              iptables -A INPUT -p tcp --syn -j syn-flood
              • Re: iptables 29.08.2007 | 09:24
                Avatar lime Debian, Red Hat, Fedora Core 3  Používateľ
                for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
                echo "1" > ${interface}
                done


                $IPTABLES -N spoofing
                $IPTABLES -A spoofing -m limit --limit 5/h --limit-burst 3 -j LOG
                $IPTABLES -A spoofing -j DROP

                $IPTABLES -N spoof_fw
                $IPTABLES -A spoof_fw -s 192.168.0.0/16 -j spoofing
                $IPTABLES -A spoof_fw -d 192.168.0.0/16 -j spoofing
                $IPTABLES -A spoof_fw -s 10.0.0.0/8 -j spoofing
                $IPTABLES -A spoof_fw -d 10.0.0.0/8 -j spoofing
                Prejdite z modrej obrazovky k linuxu :))