Bye bye asie

unrealdtc · Mars 26, 2005, 3:14

Je sais pas vous, mais moi ça m’énerve tous ces scans SSH, FTP et co que je reçois tous les jours, alors j’ai enfin decidé de reagir. Heureusement que j’ai à ma disposition un compagnon de choc qui s’appelle iptables.

Alors j’ai défini quelques règles pour protéger notre serveur dédié ; il se contente de filtrer quelques ports en provenance de quelques blocs d’IP à risque.

[code]#!/bin/sh

/etc/network/if-pre-up.d/iptables-start.sh

Remise a zero des regles de filtrage

iptables -F
iptables -X

DEBUT regles firewall

DEBUT politiques par defaut

Connexions entrantes acceptees

iptables -P INPUT ACCEPT

Connexions forwardees acceptees

iptables -P FORWARD ACCEPT

Connexions sortantes acceptees

iptables -P OUTPUT ACCEPT

FIN politiques par defaut

L’Asie me fait chier, je bloque FTP, SSH…

iptables -A INPUT -p tcp --source 200.0.0.0/6 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 210.0.0.0/7 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 218.0.0.0/6 --dport 21 -j DROP
iptables -A INPUT -p tcp --source 222.0.0.0/8 --dport 21 -j DROP

iptables -A INPUT -p tcp --source 200.0.0.0/6 --dport 22 -j DROP
iptables -A INPUT -p tcp --source 210.0.0.0/7 --dport 22 -j DROP
iptables -A INPUT -p tcp --source 218.0.0.0/6 --dport 22 -j DROP
iptables -A INPUT -p tcp --source 222.0.0.0/8 --dport 22 -j DROP[/code]

Notez que si vous chargez le module « multiport » il vous sera possible d’écrire des lignes plus jolies, du type :

iptables -A INPUT -p tcp --source 200.0.0.0/6 --dport 21,22,25 -j DROP

Ce qui est fort plus agréable à lire.

Pour ma box chez moi, je me suis contenté de faire :

# L'Asie me fait chier, je bloque tout iptables -A INPUT -p tcp --source 200.0.0.0/6 -j DROP iptables -A INPUT -p tcp --source 210.0.0.0/7 -j DROP iptables -A INPUT -p tcp --source 218.0.0.0/6 -j DROP iptables -A INPUT -p tcp --source 222.0.0.0/8 -j DROP

C’est un peu radical, mais c’est parce que je le vaux bien.

Aller, have fun, et vive iptables !

édit : Après étude de ce document j’ai rajouté d’autres blocs qui n’ont à priori rien à faire de venir se connecter chez moi en SSH.

bluelambda · Mars 26, 2005, 4:52

La plupart des attaques viennent d’Asie ?

Joxer · Mars 26, 2005, 7:44

mais c’est du racisme?!

unrealdtc · Mars 27, 2005, 1:07

[quote name=‘Joxer’ date=’ 26 Mar 2005, 20:44’]mais c’est du racisme?!
[right][post=“344440”]<{POST_SNAPBACK}>[/post][/right][/quote]

C’est de l’ironie j’espère ?

bluelambda · Mars 28, 2005, 8:39

Ca me parait bizarre que tu recoive autant d’attaques toi, et vennant d’asie en plus. C’est un truc connu que tu héberge ?

Moi je regarde les logs de mon firewall et la vérité j’ai pas grand chose. A la limite des joueurs qui se sont fait kicker de mon serveur HL et qui tentent ensuite de se venger sur mon serveur mais sans plus…

unrealdtc · Mars 28, 2005, 5:53

[quote name=‘bluelambda’ date=’ 28 Mar 2005, 09:39’]Ca me parait bizarre que tu recoive autant d’attaques toi, et vennant d’asie en plus. C’est un truc connu que tu héberge ?

Moi je regarde les logs de mon firewall et la vérité j’ai pas grand chose. A la limite des joueurs qui se sont fait kicker de mon serveur HL et qui tentent ensuite de se venger sur mon serveur mais sans plus…
[right][post=“344713”]<{POST_SNAPBACK}>[/post][/right][/quote]

su cd /var/log cat auth.log | grep Failed cat auth.log.0 | grep Failed

Enjoy.

koubiak · Mars 28, 2005, 6:15

a moi je prends d’asie et de hollande Ils se sont cassé les dents

Koubiak

bluelambda · Mars 28, 2005, 10:17

Habituellement c’est pas comme ça que je fais moi, mais si tu y tiens… mon serveur redémarre jamais normalement mais mon père l’a redémarré ce matin.

[quote]cat auth.log | grep Failed
Mar 29 00:05:01 synapse sshd[6932]: Failed password for root from ::ffff:192.168.0.246 port 32966 ssh2[/quote]
En ce qui concerne l’échec SSH c’est moi, à l’instant, qui ai fait une erreur en tapant le passe root.

Mais ça sert un peu à rien que je t’envoie ça puisque SSH est refusé par le firewall en initialisation depuis l’extérieur.

Pour les log du firewall, c’est Shorewall que j’utilise. Le niveau syslog est réglé sur info. C’est quoi le meilleur moyen de connaitre les tentatives de connections sur le port SSH de cette manière là?

koubiak · Mars 28, 2005, 10:32

tu as pas que le auth.log tu as les archives qui traine comprimer en bz2…

SInon je sais pas ou il l’est fout ses log shorewall qui est juste un couche de configuration de iptable…

Koubiak

bluelambda · Mars 29, 2005, 7:06

Ca sert a rien de toutes façons sur SSH j’aurais aucune tentative de connection, le port est fermé, donc pas la peine de chercher dans auth.log

Si quelqu’un sait comment avoir juste les tentatives de connection sur le port SSH avec Shorewall…

good_boy · Mars 29, 2005, 7:16

Depuis le temps qu’il faut que je fasse un traitement statistique des drops et des refus d’auth, tout ça…

Ah, merde, j’ai pas redirigé le flux putride de mes log drop vers un fichier destiné à ça.

C’est tata messages qui va être contente.

Unreal, tiens, je vais faire la même, qu’on se marre, voir si je met ton bout de code à laisser le tiers monde faire des scans ailleurs que chez moi.

La France aux français, le ping aux pingouins
(insérer smiley)

Edit pour blouelambada :
"Si quelqu’un sait comment avoir juste les tentatives de connection sur le port SSH avec Shorewall…"
Cherchons le port 23 dans les logs, pour voir les tentatives ?

Cat shorelogousquilestrangéledrop.log | grep 23

Ou tcp 23, je ne connais pas le formalisme des logs shorewall…

skuld · Mars 29, 2005, 7:49

Useless use of cat

un simple grep 23 shorelogousquilestrangéledrop.log fait aussi bien

good_boy · Mars 29, 2005, 7:58

useless use of post ?

(moi pas être informaticien, moi faire ce metier pour nourir ma femme, moi etre pov chtit mecano, moi avoir appris linux sur le tas, et Dieu sait qu’il est ingrat, le tas…)

Coldorak · Mars 29, 2005, 9:44

Et pour info SSH c’est tcp/22. tcp/23, c’est telnet. Ce qui est pire.

Tzim · Mars 29, 2005, 11:39

rhoo, vous voulez vraiment vous faire mal, vous…
Genre, vasy que je laisse le port par défaut… euh, dites, le serveur SSH, il vous en voudra pas si vous le faites tourner sur un autre port, hein. Les clients non plus d’ailleurs…

koubiak · Mars 30, 2005, 6:30

[quote name=‘Tzim’ date=’ 30 Mar 2005, 00:39’]rhoo, vous voulez vraiment vous faire mal, vous…
Genre, vasy que je laisse le port par défaut… euh, dites, le serveur SSH, il vous en voudra pas si vous le faites tourner sur un autre port, hein. Les clients non plus d’ailleurs…
[right][post=“345324”]<{POST_SNAPBACK}>[/post][/right][/quote]

Oui enfin quand tu mattes les les logs de qq’un tu pars de l’hypothése qui a pas fait de tunnel …

Koubiak

lapin · Mars 30, 2005, 2:32

Perso je suis bien d’accord avec Tzim, moi je laisse 22 pour le réseau local, tous les autres identifiants reseau doivent utiliser un autre port. Vu que c’est des gros robots qui se chargent de scanner les ports les plus courrants avec tentative de brut force derriere sur les ports qui répondent.

Je suis passé d’une centaines de tentatives d’authentifications SSH/jours à 0.
Bien sur un bon gros mot de passe et seulement quelques utilisateurs privilégiés autorisés à se connecter est une précaution de base de toute manière.

good_boy · Mars 30, 2005, 2:35

Ha, ouais tiens, un truc que j’ai pas fait ça, interdire ssh à root.

unrealdtc · Mars 30, 2005, 3:04

[quote name=‘good_boy’ date=’ 30 Mar 2005, 15:35’]Ha, ouais tiens, un truc que j’ai pas fait ça, interdire ssh à root.
[right][post=“345561”]<{POST_SNAPBACK}>[/post][/right][/quote]

/etc/ssh/sshd_config

bluelambda · Mars 30, 2005, 5:32

Moi je m’en sert que en LAN, et que en root de SSH de toutes façons. C’est comme ça que j’administre mon serveur. SSH refuse les connections depuis Internet, et le port est bloqué, donc…