Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 21:43

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 69 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4
Autor Wiadomość
 Tytuł:
Post: czwartek, 27 marca 2008, 18:00 
Offline

Rejestracja: sobota, 22 lipca 2006, 14:41
Posty: 82
Lokalizacja: Nowa Wieś Wielka
Ja z doświadczenia radzę zostawić w spokoju oryginalny firewall, niech sobie spokojnie działa, a wszelkie zmiany ładować z zewnętrznych plików wykonywalnych.

Łatwo wprowadzić i łatwo wrócić do pierwotnych ustawień.

Tak na marginesie to można w magiczny sposób ustawiać wersy w które mają trafić nowe wpisy np. 3 linia od góry.

Cytuj:
iptables -I FORWARD 3 -p tcp --dport 0 -j DROP


Ale jak sądzę z firewallem każdy kiedyś miał problem ;-)

Pozdrowionka

_________________
Napis na grobie informatyka:
"kowalski.zip"


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 29 marca 2008, 02:17 
Offline
Użytkownik

Rejestracja: czwartek, 29 kwietnia 2004, 14:13
Posty: 205
Lokalizacja: B-st
skopiowałem ten skrypt i wkleiłem wygląda tak

: [/] [] ()
#!/bin/bash

KATALOG="/etc/BANUDP"
# czas na jaki IP dostaje bana
BANTIME="3m"
IPIKI=(`cat /proc/net/ip_conntrack |grep udp | sed -n 's%.* src=\(192.168.[0-9.]*\).*%\1%p'| sort | uniq -c | awk '$5 > 2
x=0 while [ $x -lt ${#IPIKI[@]} ] do $KATALOG/regula "$BANTIME" "${IPIKI[$x]}" & > /dev/null
echo "${IPIKI[$x]}" >> /var/log/banudp.log
x=$[x + 1]
done


ale niestety mam taki błąd
: [/] [] ()
./banudp2: line 7: unexpected EOF while looking for matching ``'
./banudp2: line 16: syntax error: unexpected end of file


wiem że kopiowanie z windy powoduje ten błąd ale jak i gdzie to prawić

_________________
Jarek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 29 marca 2008, 23:32 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
hmm proszę sobie narazie odpuścić ten drugi skrypt,
zauważyłem że czasem niektóre bany nie wchodzą a niektóre za długo wiszą w iptables.
Ostatnio też nie miałem czasu aby dopracować go.

Pierwszy natomiast działa napewno i nie ma z nim większych problemów.
(już ten drugi skrypt wykasowałem w poprzednim poście aby nie męcił w głowach jak bedzie przetestowany to go tu umieszczę)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 6 sierpnia 2008, 23:07 
Offline
Użytkownik

Rejestracja: czwartek, 29 kwietnia 2004, 14:13
Posty: 205
Lokalizacja: B-st
skrypt "pectosol" zapisuje w logach tylko banowane ip a jak zapisać tą linijkę odpowiadającą za logi aby przed ip zapisało czas tzn datę i godzinę?

: [/] [] ()
echo "${IPIKI[$x]}" >> /var/log/banudp.log



już wiem to powinno być tak

: [/] [] ()
echo "`date`" : "${IPIKI[$x]}" >> /var/log/banudp.log

_________________
Jarek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 19 sierpnia 2008, 09:15 
Offline
Użytkownik

Rejestracja: niedziela, 9 lutego 2003, 22:23
Posty: 146
Witam,

Mam wrażenie że skrypcik banudp nie działa do końca. Dokładnie rzecz biorąc po pewnym czasie dodaje reguły blokowania danego IP i ich nie ściąga. Dodając do crona /1 /3 w ciąu 3 minut potrafi 2 razy dodać do listy dany IP bo np w ciągu minutu po zablokowaniu pierwszym nie uda się jeszcze zniszczyć udp do poniżej określonego pozimu i doda za minutę znowu. Natomiast przy kasowaniu z listy mimo ze wpis istnieje x2 to sciaga tylko jedna regule a 2 zostaje i w taki sposób klient ma zablokowanu UDDP na stałe :

Cytuj:
iptables -L | grep udp

DROP udp -- chwastyk18 anywhere udp dpt:!domain
DROP udp -- Kornel anywhere udp dpt:!domain
DROP udp -- Andzelika anywhere udp dpt:!domain
.
.
.
.


I tak już zostaje


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 19 sierpnia 2008, 14:32 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
racja jest tak.
Doraźnie można zastosować czasowy restart firewalla,

Pisałem ten skrypt na szybko, natchniony słowami tasiorka.
Zauważyłem to, ale nie do końca testowałem, bo zmieniłem łącze i limit UDP nie był mi już potrzebny - a na forum nikt wyraznie nie zaintereował się tematem.

Jak znajdę chwilę to postaram się go zmodyfikować.

Na marginesie mogę dodać że zbyt drastyczne banowanie UDP powoduje że skype wariuje i są problemy z niektórymi grami sieciowymi.

_________________
PECTOSOL to lek wykrztuśny stosowany w nieżytach gardła, przy suchym, męczącym kaszlu.
>>Jak mądrze zadawać pytania<<


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 1 lutego 2010, 15:47 
Offline

Rejestracja: czwartek, 31 lipca 2008, 16:02
Posty: 24
a jak wyglądało by całkowite zablokowanie UDP dla jednego IP ?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 9 lutego 2010, 13:46 
Offline

Rejestracja: sobota, 22 lipca 2006, 14:41
Posty: 82
Lokalizacja: Nowa Wieś Wielka
Mniej więcej tak jak byś mu odciął kabel od lanu archeologu ;-)

_________________
Napis na grobie informatyka:
"kowalski.zip"


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 9 lutego 2010, 14:11 
Offline
Użytkownik

Rejestracja: sobota, 14 maja 2005, 15:07
Posty: 3177
Lokalizacja: Busko-Zdrój
Cytuj:
a jak wyglądało by całkowite zablokowanie UDP dla jednego IP ?


jesli masz wlasny serwer dns i przekierowujesz na niego ruch,
a blokowanie udp masz w filter forward to www poprawnie bedzie dzialac.

ale jesli nie to mozna wykluczyc negacja port ! 53 i wszystko bedzie poprawnie funkcjonowalo - prawie wszystko.

proceder stosowalem i nadal stosuje wyjatkowo upierdliwym klientom,
przeginajacym w iloscia sesji udp.
robi to skrypt, automatycznie blokuje ruch udp na 24h.

wniosek: uczy to rozumu grajacych w gry, a ssaczom nie przeszkadza.


Cytuj:
iptables -t filter -I FORWARD -i eth1 -s IP_HOSTA -p udp --dport ! 53 -j DROP

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 69 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 30 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl