View previous topic :: View next topic |
Author |
Message |
pathfinder l33t
Joined: 19 Jan 2006 Posts: 731 Location: Barcelona, Spain
|
Posted: Sat Apr 07, 2007 7:18 pm Post subject: [iptables et SSH brute forcing] WHITELIST ca cafouille |
|
|
bonsoir a tous, j ouvre ce post car c est survenu pendant une autre manip. je me fais brute forcer par ssh et ca m agace.
je me suis alors mis a installer les iptables... mais je me bats avec le pare feu:
ce probleme a deja ete mentionne dans un autre postt, mais plutot hors sujet, donc je reitere ici.
j ai lu bcp de doc a ce sujet, mais il n y a pas de plantage a ce niveau la, ou moi j ai pas trouve.
j avais eu un premier probleme au niveau de mes iptables, car il ne connaissait pas "recent".
en realite le probleme etait que dans mon kernel je n avais pas le module ou built RECENT, du coup, il comprenait pas.j ai recompile, il ne se plaint plus de recent, mais maintenant, il y a une erreur qui revient tout le temps.
en gros, mon /etc/iptables.bak:
Quote:
Quote: | # Generated by iptables-save v1.2.11 on Tue May 10 08:06:58 2005
*filter
:INPUT ACCEPT [5:952]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1192099:595387635]
# accept all from localhost
-A INPUT -s 127.0.0.1 -j ACCEPT
# accept all previously established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# ssh
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
-A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
# ftp / webserver related
-A INPUT -p tcp -m state --state NEW -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
# Windows / Samba
-A INPUT -p tcp -m state --state NEW -m tcp --dport 137:139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 426 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
# up to 5 Bit-torrent connections
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6881:6886 -j ACCEPT
# amule connections
-A INPUT -p tcp -m state --state NEW -m tcp --dport 4662 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m tcp --dport 4665 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m tcp --dport 4672 -j ACCEPT
-A INPUT -p tcp --dport 4662 -j ACCEPT
-A INPUT -p udp --dport 4665 -j ACCEPT
-A INPUT -p udp --dport 4672 -j ACCEPT
-P OUTPUT ACCEPT
# reject everything else
-A INPUT -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue May 10 08:06:58 2005 |
----------------------------------------------------------------------------------------------
Les lignes en rouge je les ai vues un peu partout sur le web, et elles sont toujours similaires. Il y a juste ce probleme de whitelist...
Je ne veux pas utiliser fail2ban ou PAM ou autres techniques... au cas ou vous y auriez pensé.
Donc, une fois ce fichier créé, voila ce que je fais
Code:
Quote: | # iptables-restore /etc/iptables.bak
iptables-restore v1.3.5: Couldn't load target `SSH_WHITELIST':/lib/iptables/libipt_SSH_WHITELIST.so: cannot open shared object file: No such file or directory
Error occurred at line: 18
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
|
mais je pige pas pourquoi...
en effet, ce fichier n y est pas. /lib/iptables/libipt_SSH_WHITELIST.so
j ai pourtant bien cree ma whitelist, avec
Quote:
Quote: | # iptables -N SSH_WHITELIST
iptables: Chain already exists |
Et j y ai mis mes host acceptes dessus, cf ceci:
Quote:
Quote: | # iptables -L SSH_WHITELIST
Chain SSH_WHITELIST (0 references)
target prot opt source destination
ACCEPT all -- milkyway.chezmoi.dyndns.org anywhere recent: REMOVE name: SSH side: source
ACCEPT all -- pathfinder.chezmoi.dyndns.org anywhere recent: REMOVE name: SSH side: source |
avec comme exemple la commande
Quote:
Quote: | iptables -A SSH_WHITELIST -s milkyway -m recent --remove --name SSH -j ACCEPT |
Je ne sais pas si ca fait effet, je ne crois pas puisqu il ne veut pas faire de
iptables-restore /etc/iptables.bak
Il y a un truc que je fais pas bien. Car on continue de forcer mon port SSH et ca m enerve!!! Je comprends pas ce que je fais mal, sur le net je trouve tout le temps les memes lignes, mais sans erreur de ce style, un truc m echappe. c est au niveau de mes hosts?
----------------------------------------------------------------------------------------------
3/ comme vous pouvez le constater, les regles pour emule sont bizarres. j ai tente les 3 premieres, ca ne marche pas.
les 3 suivantes (/etc/init.d/iptables restart) et ca ne marche pas non plus.
les 6 en meme temps (je sais c est con) et tirne a faire..
je ne comprends pas pourquoi, avant ca marchait sans problemes...
Quote:
Quote: | # nmap -p 4665 milkyway
Starting Nmap 4.20 ( http://insecure.org ) at:00 CEST
Interesting ports on milkyway.chezmoi.dyndns.org (192.168.1.35):
PORT STATE SERVICE
4665/tcp filtered unknown
Nmap finished: 1 IP address (1 host up) scanned in 0.095 seconds
# nmap -p 4665 milkyway
Starting Nmap 4.20 ( http://insecure.org ) at:00 CEST
Interesting ports on milkyway.chezmoi.dyndns.org (192.168.1.35):
PORT STATE SERVICE
4665/tcp filtered unknown
Nmap finished: 1 IP address (1 host up) scanned in 0.095 seconds
# nmap -p 4672 milkyway
Starting Nmap 4.20 ( http://insecure.org ) at:00 CEST
Interesting ports on milkyway.chezmoi.dyndns.org (192.168.1.35):
PORT STATE SERVICE
4672/tcp filtered rfa
Nmap finished: 1 IP address (1 host up) scanned in 0.105 seconds
|
J ai la sensation que amule est rejete car je l ai ajoute apres. c est possible?
Je sais que plein de trucs ont ete postes a ce niveau, mais je trouve rien qui ressemble a mon probleme, et je vois pas comment le resoudre... SVP merci de m aider, ca fait vraiment chier ce truc... _________________ Cuando un tonto coge un camino, el camino se acaba, pero el tonto sigue |
|
Back to top |
|
|
pathfinder l33t
Joined: 19 Jan 2006 Posts: 731 Location: Barcelona, Spain
|
Posted: Thu Apr 26, 2007 1:49 pm Post subject: |
|
|
personne?
je n arrive toujours pas a resoudre mon probleme...
il y a rien a faire?
je vois pas ou ca cloche... _________________ Cuando un tonto coge un camino, el camino se acaba, pero el tonto sigue |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Thu Apr 26, 2007 3:03 pm Post subject: |
|
|
En regardant vite fait, ce n'est pas plutôt à toi de créer ce fichier et y mettre justement les IP que tu veux authoriser, d'ou le nom de liste blanche.
Sinon pour eviter le brute force, le mieux est de faire une authorisation par clés publique seulement en supprimant les mot de passe en passant les deux paramètres suivant à non:
Code: |
ChallengeResponseAuthentication no
PasswordAuthentication no
|
Et là tu es tranquille. _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|