Am Freitag, den 01.06.2012, 16:53 +0200 schrieb Michael Stummvoll:
> > BTT: es gibt momentan keinen grund fail2ban nicht zusätzlich zu ssh
> > oder was auch immer
> > laufen zu haben
>
> Ich hab mir gerade mal die regulären ausdrücke in fail2ban
> angeschaut und wie das vorgeht. Mir viel da auf anhieb ein ziemlich
> heftiger angriffspunkt auf: Manche der konfigurierten logfiles geben ja
> z.T 1:1 meine eingaben als angreifer wieder (username z.B.). Ich könnte
> eingaben so preparieren, dass die auf die regulären ausdrücke
> einiger jails passen und damit gezielt bestimmte hosts ausperren. Zum
> beispiel den jail für apache kann man dafür ausnutzen. Wenn ich es
> damit schaffe, den server localhost per iptables blocken zu lassen,
> würde das den apachen lahmlegen, da er für irgendwas diese internal
> connections brauch.
>
> Ist gerade ziemlich herbeikonstruiert und ich habs nicht ausprobiert,
> aber darüber sollte man auch nachdenken.
Deshalb prüft iptables bei mir die Herkunft der Pakete.
An eth1 hängt das Internet.
Chain INPUT (policy DROP 574 packets, 24374 bytes)
pkts bytes target prot opt in out source destination
53563 5125K fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
4714K 1598M blacklist all -- eth1 * 0.0.0.0/0 0.0.0.0/0
11M 14G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1221K 154M ACCEPT all -- !eth1 * 192.168.61.0/24 0.0.0.0/0
176K 11M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
233K 13M in_private all -- eth1 * 0.0.0.0/0 0.0.0.0/0
.....
Chain FORWARD (policy DROP 358 packets, 20028 bytes)
pkts bytes target prot opt in out source destination
18M 21G blacklist all -- eth1 * 0.0.0.0/0 0.0.0.0/0
30M 27G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
696K 127M ACCEPT all -- !eth1 !eth1 0.0.0.0/0 0.0.0.0/0
0 0 log_drop all -- eth1 eth1 0.0.0.0/0 0.0.0.0/0
49699 3003K in_private all -- eth1 * 0.0.0.0/0 0.0.0.0/0
355K 23M out_private all -- * eth1 0.0.0.0/0 0.0.0.0/0
.....
Chain OUTPUT (policy DROP 113 packets, 47151 bytes)
pkts bytes target prot opt in out source destination
9394K 16G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
475K 33M ACCEPT all -- * !eth1 0.0.0.0/0 192.168.61.0/24
176K 11M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
400K 31M out_private all -- * eth1 0.0.0.0/0 0.0.0.0/0
.....
Chain in_private (2 references)
pkts bytes target prot opt in out source destination
0 0 log_drop all -- * * 127.0.0.0/8 0.0.0.0/0
3 156 log_drop all -- * * 10.0.0.0/8 0.0.0.0/0
0 0 log_drop all -- * * 172.16.0.0/12 0.0.0.0/0
0 0 log_drop all -- * * 192.168.0.0/16 0.0.0.0/0
0 0 log_drop all -- * * 224.0.0.0/4 0.0.0.0/0
0 0 log_drop all -- * * 240.0.0.0/4 0.0.0.0/0
Chain out_private (2 references)
pkts bytes target prot opt in out source destination
0 0 log_drop all -- * * 0.0.0.0/0 127.0.0.0/8
0 0 log_drop all -- * * 0.0.0.0/0 10.0.0.0/8
0 0 log_drop all -- * * 0.0.0.0/0 172.16.0.0/12
5 596 log_drop all -- * * 0.0.0.0/0 192.168.0.0/16
0 0 log_drop all -- * * 0.0.0.0/0 224.0.0.0/4
0 0 log_drop all -- * * 0.0.0.0/0 240.0.0.0/4
Chain log_drop (13 references)
pkts bytes target prot opt in out source destination
8 752 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 1 prefix `LOGGING-DROP: '
8 752 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Das sind jeweils die Anfänge der Filter-Tabellen. Nach dem '.....'
kommen dann spezielle Regeln.
Wie du siehst, wird alles was aus dem Internet kommt und eine IP als
Absender hat die für den privaten Gebrauch bestimmt ist, gedropt.
Es dürfen auch keine Pakete hinaus die eine private IP als Absender
haben.
Am Zähler sieht man, daß es doch hin und wieder passiert wäre ohne
Regel.
Durch diese Regeln ist es nicht möglich, daß jemand von aussen das
loopback in die Banliste drückt.
--
mfG Sascha
Es sind immer nur unsere Augen, unsere Vorstellungsarten; die
Natur weiß ganz allein, was sie will, was sie gewollt hat.
-- Goethe, Maximen und Reflektionen, Nr. 358
Attachment:
signature.asc
Description: This is a digitally signed message part