Page 3 of 15 FirstFirst 1234513 ... LastLast
Results 31 to 45 of 225

Thread: Remote ssh access

  1. 13-11-2007, 04:51 #31
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Лучше так:
    Code:
    iptables -t nat -I PREROUTING -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    цветом я отметил изменения. То есть раньше это работало только если заходили с WAN (то есть если был vpn, то man это не затрагивало) а так правило действует на все входящие, кроме входящих с LAN.

    И insmod ipt_recent обязательно именно в pre-boot, о чём я и говорил в той самой ветке. Да и кстати, а почему бы в той самой ветке и не спросить?
    Last edited by Mam(O)n; 13-11-2007 at 04:59.
    Reply With Quote Reply With Quote
  2. 13-11-2007, 15:35 #32
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Mam(O)n View Post
    Лучше так:
    Code:
    iptables -t nat -I PREROUTING -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    цветом я отметил изменения. То есть раньше это работало только если заходили с WAN (то есть если был vpn, то man это не затрагивало) а так правило действует на все входящие, кроме входящих с LAN.

    И insmod ipt_recent обязательно именно в pre-boot, о чём я и говорил в той самой ветке. Да и кстати, а почему бы в той самой ветке и не спросить?
    А как избежать риска что после этих изменений в post-xxx файлах я смогу залогиниться? Как проверить что все работает перед тем как запустить flashfs? я пытался запустить post-boot в котором была строчка insmod ipt_recent и после этого соединение с роутером было закрыто до его перезагрузки..
    Reply With Quote Reply With Quote
  3. 13-11-2007, 16:59 #33
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    включить telnet в виде запасного варианта

    Еще для тестирования наверное можно запустить dropbear -p 1555 -p 1556 и пытаться заблокировать один из портов оставив второй для себя открытым...

    Кстати, насколько я понимаю, недостаток этого метода в том, что если кто-то начинает ломиться по ssh , то для всех логины на данном порту тормозятся (в т.ч. и для хозяина). Это так?
    Reply With Quote Reply With Quote
  4. 13-11-2007, 19:05 #34
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Бан идёт по IP и не распространяется на LAN(br0).
    Reply With Quote Reply With Quote
  5. 13-11-2007, 19:27 #35
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    ну насчет LAN(br0) --- это понятно. А насчет IP --- хорошо ежели так. А можно ли посмотреть список забаненных IP адресов?
    Reply With Quote Reply With Quote
  6. 13-11-2007, 19:31 #36
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by al37919 View Post
    ну насчет LAN(br0) --- это понятно. А насчет IP --- хорошо ежели так. А можно ли посмотреть список забаненных IP адресов?
    А также как этот список почистить (если необходимо)?
    Reply With Quote Reply With Quote
  7. 13-11-2007, 19:45 #37
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by gsnake View Post
    А как избежать риска что после этих изменений в post-xxx файлах я смогу залогиниться? Как проверить что все работает перед тем как запустить flashfs? я пытался запустить post-boot в котором была строчка insmod ipt_recent и после этого соединение с роутером было закрыто до его перезагрузки..
    Ну как я и ожидал - роутер не инициализируется и я не могу никак залогиниться.. Как вернуться назад (если это вообще возможно)
    Reply With Quote Reply With Quote
  8. 13-11-2007, 19:51 #38
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    совсем совсем ничего нет?
    web-IF, samba, ftp, telnet?
    Reply With Quote Reply With Quote
  9. 13-11-2007, 19:55 #39
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by al37919 View Post
    совсем совсем ничего нет?
    web-IF, samba, ftp, telnet?
    Ничего не мог сделать. У меня почти портов нет попробовать (я сейчас на работе а провайдер все порты кроме нескольких заблокировал).
    По запасному порту вошел.... Основной порт почему-то все время timeout говорит..
    Чего-то не так со скриптами наверное..
    Reply With Quote Reply With Quote
  10. 13-11-2007, 20:03 #40
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Основной порт почему-то все время timeout говорит..
    Полагаю, что результат работы ipt_recent должен выглядеть именно так, значит работает
    Reply With Quote Reply With Quote
  11. 13-11-2007, 21:41 #41
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by al37919 View Post
    Полагаю, что результат работы ipt_recent должен выглядеть именно так, значит работает
    ага.. оно почему-то то тормозит, то нет. я так понимаю, что на 3 неудачные попытки ip должен блокироваться? а на сколько? как вообще это должно работать? как обнулить все "плохие" ip?
    Reply With Quote Reply With Quote
  12. 13-11-2007, 22:22 #42
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Блокируются входящие соединения во время, когда за последние 600 секунд имеется более 3 запросов на установления tcp сессии с одного ip. Попытки здесь не причем. Рабочая таблица находится в /proc/net/ipt_recent/SSH_ATTACKER
    Reply With Quote Reply With Quote
  13. 13-11-2007, 22:31 #43
    gsnake
    gsnake is offline Member
    Join Date
    Jul 2007
    Posts
    33
    Quote Originally Posted by Mam(O)n View Post
    Блокируются входящие соединения во время, когда за последние 600 секунд имеется более 3 запросов на установления tcp сессии с одного ip. Попытки здесь не причем. Рабочая таблица находится в /proc/net/ipt_recent/SSH_ATTACKER
    ясно.. но тогда все это не работает. у меня постоянные timeoutы на основной порт и SSH_ATTACKER пустой.. а нужно ли иметь в post-firewall эту строку (перед теми 2-мя, которые ты посоветовал)?
    iptables -I INPUT -p tcp --dport 1555 -j ACCEPT
    Reply With Quote Reply With Quote
  14. 13-11-2007, 22:45 #44
    al37919
    al37919 is offline Forum Guru
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    перед точно не надо, а вот после --- желательно

    Правила выполняются одно за другим. Как только встречается правило, которое принимает окончательное решение, остальные не выполняются.
    Reply With Quote Reply With Quote
  15. 13-11-2007, 23:25 #45
    Mam(O)n
    Mam(O)n is offline Forum Guru
    Send a message via ICQ to Mam(O)n
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by al37919 View Post
    перед точно не надо, а вот после --- желательно
    Он имел ввиду в post-firewall файле. А там как раз именно до этих строк нужно вставлять её. Мы ведь делаем -I (INSERT, вставка) на позицию 1 в цепочке и результат получится обратным(зеркальным) по отношению порядка следования команд в post-firewall.

    gsnake, покажи чтоли таблицы (iptables -L -vn && iptables -L -vnt nat), а то непонятно, что там у тебя сейчас получилось. Ясно то, что до бана дело даже не доходит.

    ps. Раскопал щас в man от iptables про то, как можно той таблицей манипулировать:
    Code:
           echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT
              to Add to the DEFAULT list

       echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT
              to Remove from the DEFAULT list

       echo clear > /proc/net/ipt_recent/DEFAULT
              to empty the DEFAULT list.
    Соответственно DEFAULT на SSH_ATTACKER нужно заменить
    Reply With Quote Reply With Quote
Page 3 of 15 FirstFirst 1234513 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Enable Web Access from WAN? YES-NO. Работает ли защита?
    By michaelV in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 38
    Last Post: 08-10-2013, 04:55
  2. Проблемы с RAdmin и Remote Desktop
    By dmitrych in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 184
    Last Post: 13-04-2013, 16:44
  3. [HowTo]Aria2 Torrent, FTP, HTTP mit Remote Control
    By newbiefan in forum German Discussion - Deutsch (DE)
    Replies: 3
    Last Post: 08-01-2012, 19:15
  4. Can't access my firmware
    By juvealerts in forum WL-500g Q&A
    Replies: 1
    Last Post: 10-11-2008, 16:11
  5. Access to NAS in LAN from WAN
    By Hexabyte in forum WL-500g Custom Development
    Replies: 1
    Last Post: 01-04-2008, 06:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules