Page 3 of 15 FirstFirst 1234513 ... LastLast
Results 31 to 45 of 225

Thread: Remote ssh access

  1. #31
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Лучше так:
    Code:
    iptables -t nat -I PREROUTING -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    цветом я отметил изменения. То есть раньше это работало только если заходили с WAN (то есть если был vpn, то man это не затрагивало) а так правило действует на все входящие, кроме входящих с LAN.

    И insmod ipt_recent обязательно именно в pre-boot, о чём я и говорил в той самой ветке. Да и кстати, а почему бы в той самой ветке и не спросить?
    Last edited by Mam(O)n; 13-11-2007 at 05:59.

  2. #32
    Quote Originally Posted by Mam(O)n View Post
    Лучше так:
    Code:
    iptables -t nat -I PREROUTING -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ! $3 -p tcp -m state --state NEW --dport 1555 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    цветом я отметил изменения. То есть раньше это работало только если заходили с WAN (то есть если был vpn, то man это не затрагивало) а так правило действует на все входящие, кроме входящих с LAN.

    И insmod ipt_recent обязательно именно в pre-boot, о чём я и говорил в той самой ветке. Да и кстати, а почему бы в той самой ветке и не спросить?
    А как избежать риска что после этих изменений в post-xxx файлах я смогу залогиниться? Как проверить что все работает перед тем как запустить flashfs? я пытался запустить post-boot в котором была строчка insmod ipt_recent и после этого соединение с роутером было закрыто до его перезагрузки..

  3. #33
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    включить telnet в виде запасного варианта

    Еще для тестирования наверное можно запустить dropbear -p 1555 -p 1556 и пытаться заблокировать один из портов оставив второй для себя открытым...

    Кстати, насколько я понимаю, недостаток этого метода в том, что если кто-то начинает ломиться по ssh , то для всех логины на данном порту тормозятся (в т.ч. и для хозяина). Это так?

  4. #34
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Бан идёт по IP и не распространяется на LAN(br0).

  5. #35
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    ну насчет LAN(br0) --- это понятно. А насчет IP --- хорошо ежели так. А можно ли посмотреть список забаненных IP адресов?

  6. #36
    Quote Originally Posted by al37919 View Post
    ну насчет LAN(br0) --- это понятно. А насчет IP --- хорошо ежели так. А можно ли посмотреть список забаненных IP адресов?
    А также как этот список почистить (если необходимо)?

  7. #37
    Quote Originally Posted by gsnake View Post
    А как избежать риска что после этих изменений в post-xxx файлах я смогу залогиниться? Как проверить что все работает перед тем как запустить flashfs? я пытался запустить post-boot в котором была строчка insmod ipt_recent и после этого соединение с роутером было закрыто до его перезагрузки..
    Ну как я и ожидал - роутер не инициализируется и я не могу никак залогиниться.. Как вернуться назад (если это вообще возможно)

  8. #38
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    совсем совсем ничего нет?
    web-IF, samba, ftp, telnet?

  9. #39
    Quote Originally Posted by al37919 View Post
    совсем совсем ничего нет?
    web-IF, samba, ftp, telnet?
    Ничего не мог сделать. У меня почти портов нет попробовать (я сейчас на работе а провайдер все порты кроме нескольких заблокировал).
    По запасному порту вошел.... Основной порт почему-то все время timeout говорит..
    Чего-то не так со скриптами наверное..

  10. #40
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Основной порт почему-то все время timeout говорит..
    Полагаю, что результат работы ipt_recent должен выглядеть именно так, значит работает

  11. #41
    Quote Originally Posted by al37919 View Post
    Полагаю, что результат работы ipt_recent должен выглядеть именно так, значит работает
    ага.. оно почему-то то тормозит, то нет. я так понимаю, что на 3 неудачные попытки ip должен блокироваться? а на сколько? как вообще это должно работать? как обнулить все "плохие" ip?

  12. #42
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Блокируются входящие соединения во время, когда за последние 600 секунд имеется более 3 запросов на установления tcp сессии с одного ip. Попытки здесь не причем. Рабочая таблица находится в /proc/net/ipt_recent/SSH_ATTACKER

  13. #43
    Quote Originally Posted by Mam(O)n View Post
    Блокируются входящие соединения во время, когда за последние 600 секунд имеется более 3 запросов на установления tcp сессии с одного ip. Попытки здесь не причем. Рабочая таблица находится в /proc/net/ipt_recent/SSH_ATTACKER
    ясно.. но тогда все это не работает. у меня постоянные timeoutы на основной порт и SSH_ATTACKER пустой.. а нужно ли иметь в post-firewall эту строку (перед теми 2-мя, которые ты посоветовал)?
    iptables -I INPUT -p tcp --dport 1555 -j ACCEPT

  14. #44
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    перед точно не надо, а вот после --- желательно

    Правила выполняются одно за другим. Как только встречается правило, которое принимает окончательное решение, остальные не выполняются.

  15. #45
    Join Date
    Aug 2006
    Location
    Moscow, Russia
    Posts
    788
    Quote Originally Posted by al37919 View Post
    перед точно не надо, а вот после --- желательно
    Он имел ввиду в post-firewall файле. А там как раз именно до этих строк нужно вставлять её. Мы ведь делаем -I (INSERT, вставка) на позицию 1 в цепочке и результат получится обратным(зеркальным) по отношению порядка следования команд в post-firewall.

    gsnake, покажи чтоли таблицы (iptables -L -vn && iptables -L -vnt nat), а то непонятно, что там у тебя сейчас получилось. Ясно то, что до бана дело даже не доходит.

    ps. Раскопал щас в man от iptables про то, как можно той таблицей манипулировать:
    Code:
           echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT
                  to Add to the DEFAULT list
    
           echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT
                  to Remove from the DEFAULT list
    
           echo clear > /proc/net/ipt_recent/DEFAULT
                  to empty the DEFAULT list.
    Соответственно DEFAULT на SSH_ATTACKER нужно заменить

Page 3 of 15 FirstFirst 1234513 ... LastLast

Similar Threads

  1. Enable Web Access from WAN? YES-NO. Работает ли защита?
    By michaelV in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 38
    Last Post: 08-10-2013, 05:55
  2. Проблемы с RAdmin и Remote Desktop
    By dmitrych in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 184
    Last Post: 13-04-2013, 17:44
  3. [HowTo]Aria2 Torrent, FTP, HTTP mit Remote Control
    By newbiefan in forum German Discussion - Deutsch (DE)
    Replies: 3
    Last Post: 08-01-2012, 20:15
  4. Can't access my firmware
    By juvealerts in forum WL-500g Q&A
    Replies: 1
    Last Post: 10-11-2008, 17:11
  5. Access to NAS in LAN from WAN
    By Hexabyte in forum WL-500g Custom Development
    Replies: 1
    Last Post: 01-04-2008, 07:14

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •