Jump to content
Dorik1972

xtables-addons-common

Recommended Posts

Подскажите плиззз знатоки "продукта" . Есть ли в OPKG пакет аналогичный xtables-addons-common ? Задолбали "желторотые" братья ломятся без устали .... Хочется их "убивать" на входе :) 

  • Thanks 1

Share this post


Link to post
Share on other sites

Рассмотрите вариант с помощью ipset, тем более IP адреса можно добавлять самому в готовый список. Создание списка из wget -O- http://www.ipdeny.com/ipblocks/data/countries
Далее загнать его например в geoblock и на нужный "порт" (переменная, номер порта куда направить)

...
ipset create geoblock hash:net,port
for net in $(wget -O- http://www.ipdeny.com/ipblocks/data/countries/ru.zone); 
do
    ipset add geoblock $net,порт
done
iptables -I INPUT -m state --state NEW -m set --match-set geoblock src -j REJECT
...
...
add geoblock 91.217.136.0/24,tcp:порт
add geoblock 91.246.25.0/24,tcp:порт
add geoblock 5.172.0.0/19,tcp:порт
add geoblock 46.249.0.0/19,tcp:порт
...
/opt/tmp # iptables -nvL | grep geoblock
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW match-set geoblock src reject-with icmp-port-unreachable
/opt/tmp #
/opt/tmp # ipset --list geoblock
...
62.168.224.0/19,tcp:порт
128.204.0.0/18,tcp:порт
185.5.160.0/22,tcp:порт
194.126.168.0/22,tcp:порт
...

сам список можно сформировать в ручную в место того чтоб брать wget с ipdeny, его формат простой например для зоны ....

167.149.0.0/16
168.163.0.0/16
199.103.106.0/24
199.103.111.0/24
199.103.112.0/24
204.79.161.0/24
204.79.162.0/23
204.79.166.0/23
204.79.229.0/24
5.1.96.0/21

Например ru.zona - 123КБ, ch.zone - 30KБ. Ну или с DROP

Тут по моему был пример ipset при блокировки рекламы.

Edited by vasek00

Share this post


Link to post
Share on other sites

Ну я где-то так "через такой" костыль и отбиваю только с помощью file2ban... но ... функционал xtables-addons поинтереснее ... кроме geoip ... Например - наказывать "ломящихся" незакрытым соединением минут на 10-20 :) , особенно любителей "по сканировать" ....

Share this post


Link to post
Share on other sites

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter

типа xt_TARPIT и в iptables libipt_TARPIT

— TARPIT — широко известный в узких кругах инструмент для активного противодействия (D)DoS-атакам и сканированиям TCP-портов, 
способный в определенный обстоятельствах неплохо проучить атакующего. Суть его работы сводится к следующему: он подтверждает 
открытие входящего TCP-соединения, после чего устанавливает размер окна TCP равным нулю, что блокирует возможность корректного 
закрытия соединения. В результате система атакующего получает очередное «повисшее» соединение, в то время как ваша система 
ничего не замечает (хуки netfilter отрабатывают раньше, чем стандартный сетевой стек ядра, дополнительно может потребоваться 
отключение трекинга соединений в conntrack через действие NOTRACK). При агрессивной атаке подобная тактика может вызвать у 
атакующего серьезные проблемы. Особенно сильно такому воздействию подвержены системы семейства Windows, на которых, как правило, 
и работают атакующие ботнеты. 

открытие порта для пустых соединений
iptables -A INPUT -i $IF -p tcp -m tcp --destination-port ххх -j TARPIT
или для всех оставшихся последняя запись
iptables -A INPUT -p tcp -m tcp -j TARPIT

Основной минус это временной интервал timeout.

типа xt_DELUDE

— DELUDE — не столь опасный, но тем не менее тоже полезный инструмент противодействия сканированию TCP-портов. Работает он следующим 
образом: на SYN-пакеты он отвечает SYN,ACK-пакетами, создавая видимость открытого порта, на все остальные пакеты он отвечает RST 
(чтобы не создавать лишних проблем). Таким образом, DELUDE позволяет ввести атакующего в заблуждение, создав у него неверное впечатление 
о состоянии ваших портов.

Что имеем так это все в  - /lib/modules/3.4.113

/lib/modules/3.4.113 # ls -l | grep xt_
-rw-r--r--    1 root     root          2008 Jan 20 22:40 xt_CLASSIFY.ko
-rw-r--r--    1 root     root          3400 Jan 20 22:40 xt_DSCP.ko
-rw-r--r--    1 root     root          4944 Jan 20 22:40 xt_TEE.ko
-rw-r--r--    1 root     root          7196 Jan 20 22:40 xt_TPROXY.ko
-rw-r--r--    1 root     root          4336 Jan 20 22:40 xt_addrtype.ko
-rw-r--r--    1 root     root          1908 Jan 20 22:40 xt_comment.ko
-rw-r--r--    1 root     root          3644 Jan 20 22:40 xt_connbytes.ko
-rw-r--r--    1 root     root          3144 Jan 20 22:40 xt_connmark.ko
-rw-r--r--    1 root     root          2676 Jan 20 22:40 xt_dscp.ko
-rw-r--r--    1 root     root          3092 Jan 20 22:40 xt_ecn.ko
-rw-r--r--    1 root     root          2304 Jan 20 22:40 xt_esp.ko
-rw-r--r--    1 root     root         11360 Jan 20 22:40 xt_hashlimit.ko
-rw-r--r--    1 root     root          2648 Jan 20 22:40 xt_helper.ko
-rw-r--r--    1 root     root          2200 Jan 20 22:40 xt_hl.ko
-rw-r--r--    1 root     root          2552 Jan 20 22:40 xt_iprange.ko
-rw-r--r--    1 root     root          2152 Jan 20 22:40 xt_length.ko
-rw-r--r--    1 root     root          2116 Jan 20 22:40 xt_owner.ko
-rw-r--r--    1 root     root          2984 Jan 20 22:40 xt_physdev.ko
-rw-r--r--    1 root     root          2084 Jan 20 22:40 xt_pkttype.ko
-rw-r--r--    1 root     root          3772 Jan 20 22:40 xt_policy.ko
-rw-r--r--    1 root     root          2456 Jan 20 22:40 xt_quota.ko
-rw-r--r--    1 root     root         12368 Jan 20 22:40 xt_recent.ko
-rw-r--r--    1 root     root          6060 Jan 20 22:40 xt_set.ko
-rw-r--r--    1 root     root          5332 Jan 20 22:40 xt_socket.ko
-rw-r--r--    1 root     root          2492 Jan 20 22:40 xt_statistic.ko
-rw-r--r--    1 root     root          2400 Jan 20 22:40 xt_string.ko
/lib/modules/3.4.113 # 

 

Edited by vasek00

Share this post


Link to post
Share on other sites
19 часов назад, vasek00 сказал:

Раз уж пошла такая "пьянка" то интересно так же модуль для netfilter

типа xt_TARPIT и в iptables libipt_TARPIT

 

xtables-addons-common это подерживает TARPIT, DELUDE + CHAOS :) 

 

Share this post


Link to post
Share on other sites

Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel.

Share this post


Link to post
Share on other sites
1 час назад, plagioklaz сказал:

Уважаемые знатоки, развили бы вы тему до инструкции по установке и настройке средств защиты от ломящихся. Подобных тем с жалобами на форуме много. помогли бы многим пользователям продукции фирмы zyxel.

  Из того что доступно в iptables я сделал вот так в /ndm/netfilter.d

## Блокирование INVALID-пакетов
iptables -A INPUT -i eth3 -m conntrack --ctstate INVALID -j DROP

## Блокирование новых пакетов, которые не имеют флага SYN
iptables -A INPUT -i eth3 -p tcp ! --syn -m conntrack --ctstate NEW -j DROP

## Блокирование фрагментированных пакетов
iptables -A INPUT -i eth3 -f -j DROP

## Блокирование пакетов с неверными TCP флагами
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,URG URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP
iptables -A INPUT -i eth3 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

## Защита от сканирования портов
iptables -N port-scanning
iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
iptables -A port-scanning -j DROP

Ну и посмотреть "как там дела" :)  после применения правил

iptables -nvL
  • Thanks 2

Share this post


Link to post
Share on other sites

Подождем lib из 11 сейчас же ревизия /usr/lib/libxtables.so.10 или /opt/lib/libxtables.so.10

Цитата

установке и настройке средств защиты от ломящихся

Тут уже есть много примеров и которые могут работать в месте на основе DNSMasq с плюсом IPSet

Суть DNSMasq прием и обработка запросов DNS от клиента с проверкой по файлу hosts который обновляется автоматом (или в ручную создается). Меньше таких сайтов посещаете - меньше оставляем следы своего прибывания.

Суть IPSet готовые команды выше практически все это создать список неугодных IP адресов поместив их в "geoblock" или свое имя и использовать его в одном входящем INPUT правиле iptables. Создавать большой список не есть гуд, а может к вам и не ломятся или один "залетный" то можно только для него.

И не забываем, что разработчик тоже учитывает реалии жизни.

https://forum.keenetic.net/topic/139-блокировка-рекламы-на-роутере/

https://forum.keenetic.net/topic/97-блокировка-сбора-информации-windows-10/

Share this post


Link to post
Share on other sites

Ну про блокировку рекламы я тоже "отметился" на основе privoxy .... автоматом обновляет + возможность многих "вкусностей"  опять же если "найдеться" недстающий модуль под Python ... так еще и https фильтрацию "заточу" .... Можно использовать "в спайке" с решением dnsmasq (по файлу hosts).... но мне кажется что  -  privoxy изящнее и функциональнее :)

НО ! Это все "постфактум" ....  хотелось бы xtables-addons-common .... это ж "надстроечка"  для iptables .... 

p.s. По privoxy+adblock есть изменения в скрипте обновления ... обновлю на днях инструкцию и ссылки

Edited by Dorik1972

Share this post


Link to post
Share on other sites

Собирайте голоса, возможно в opkg-kmod-netfilter добавим модули ядра из xtables-addons. Но это будет только версия 1.42, ветка 2.x нам не подойдет.

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...