Módulo Recent

O Módulo Recent é o módulo mais interessante que já usei, com ele é possível criar tabelas dinâmicas, com inserção de endereços nas mesmas. É possível criar regras para bloquear determinados IPs que façam referência com determinadas situações que forem estipuladas nas regras, ou, até mesmo bloquear ou abrir portas para determinados serviços através das tabelas.

- Opções:

• --name : Opção usada para especificar nome da lista. Caso nenhum nome seja informado, será usada DEFAULT.
• --set : Opção usada para adicionar endereço de origem de um pacote na lista. Caso o endereço já se encontre na lista, irá ser feito uma update do registro.
• --rcheck : Opção usada para verificar se o endereço de origem do pacote existe na lista.
• --update : Opção parecida com "--rcheck", porém, além de verificar se o endereço de origem está na lista.
• --remove : Opção usada para verificar se o endereço de origem está na lista, caso esteja, removerá da lista.
• --seconds : Opção usada em conjunto com as opções "--rcheck" ou "--update". Usada para verificar se o endereço de origem está na lista, e se a regra ocorreu dentro do prazo estipulado.
• --hitcount : Opção usada em conjunto com "--rcheck" ou "--update", com ela verifica-se se o endereço de origem do pacote está na lista e se os pacotes foram recebidos de forma maior ou igual do que o especificado nesta opção.
  Pode-se usar está opção junto com a opção "--seconds" para criar um a regra que verifique uma certa quantidade de ocorrências em um intervalo de tempo.
• --rttl : Opção usada para verificar o tamanho de 'ttl' (time-to-live) corrente com o tamanho do 'ttl' contido na lista. Está opção é usada em conjunto com "--rcheck" ou "--update".
• --rsource : Salva o endereço de origem de cada pacote na tabela.
• --rdest : Salva o endereço de destino de cada pacote na tabela.

- Colocando em Prática

Na primeira regra, para mostrar como usar o Módulo Recent, crio a tabela que conterá os dados e adiciono (--set) o IP da máquina que enviou o pacote para todos os pacotes ICMP que tiverem como destino a máquina local (192.168.20.10).

Na segunda regra, irei limitar em 2 pacotes ICMP no máximo em um intervalo de 10 segundos, a partir do terceiro pacote por diante no intervalo de 10 segundos, os pacotes ICMP serão bloqueados por 10 segundos, ou seja, só aceitará 2 pacotes em 10 segundos.

# iptables -A INPUT -p icmp -m recent --name icmp --set
# iptables -A INPUT -p icmp -m recent --name icmp --update --seconds 10 --hitcount 3 -j DROP

Após a execução das regras, vamos testar.

- Testando: * A máquina que contém as regras é 192.168.20.10, e a máquina que envia, é 192.168.20.40.

# ping -c 10 192.168.20.10

PING 192.168.20.10 (192.168.20.10) 56(84) bytes of data.
64 bytes from 192.168.20.10: icmp_req=1 ttl=64 time=0.179 ms
64 bytes from 192.168.20.10: icmp_req=2 ttl=64 time=0.156 ms

--- 192.168.20.10 ping statistics ---
10 packets transmitted, 2 received, 80% packet loss, time 9044ms
rtt min/avg/max/mdev = 0.156/0.167/0.179/0.017 ms

* Verificando as regras pelo IPtables da máquina que está com as regras.

# iptables -nvL

Chain INPUT (policy ACCEPT 9 packets, 1003 bytes)
pkts bytes target prot opt in out source destination
10 840 icmp -- * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: icmp side: source
8 672 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE seconds: 10 hit_count: 3 name: icmp side: source

Perceba que dos 10 enviados, 8 foram bloqueados e só 2 foram aceitos, isto acontece porque limitamos apenas para aceitar apenas 2 em 10 segundos, e como o ping por padrão envia um pacote por segundo, 8 foram bloqueados e o endereço de origem fica bloqueado 10 segundos após o ultimo pacote bloqueado.

No segundo exemplo, vou mostrar como o Recent pode ser usado para bloquear ou permitir acesso ao SSH (serviço muito utilizado). Para isto, crio duas regras, a primeira cria uma tabela chamada de 'limitssh', para tentativas de conexões usando o protocolo TCP na porta 22 do Host local 192.168.20.10, e a segunda regra bloqueia por 60 segundos (1minuto) pacotes que venha do protocolo TCP com destino à porta 22 e que tenha 2 ou mais entradas na tabela 'limitssh' registradas em um intervalo de 60 segundos (1 minuto).

# iptables -A INPUT -p tcp --syn --dport 22 -m recent --name limitssh --set
# iptables -A INPUT -p tcp --syn --dport 22 -m recent --name limitssh --update --seconds 60 --hitcount 2 -j REJECT

- Testando:

* Primeira tentativa de conexão na máquina que está com o SSH e com as regras aplicadas - Host 192.168.20.10

# date;ssh -p 22 edson@192.168.20.10

Ter Fev 21 23:48:49 BRT 2012
edson@192.168.20.10's password:

Last login: Tue Feb 21 23:47:09 2012 from abrtop.local

[Se conectou...]

* Segunda tentativa de conexão - poucos segundos depois da primeira tentativa:

# date;ssh -p 22 edson@192.168.20.10

Ter Fev 21 23:48:55 BRT 2012
ssh: connect to host 192.168.20.10 port 22: Connection refused

[Não se conectou...]

* Terceira tentativa de conexão - segundos depois da segunda tentativa que foi bloqueada:

# date;ssh -p 22 edson@192.168.20.10

Ter Fev 21 23:49:35 BRT 2012
ssh: connect to host 192.168.20.10 port 22: Connection refused

[Não conectou...]

* Quarta tentativa de conexão - um minuto depois da última tentativa bloqueada, consegui conectar:

# date;ssh -p 22 edson@192.168.20.10

Ter Fev 21 23:50:36 BRT 2012
edson@192.168.20.10's password:

Last login: Tue Feb 21 23:49:04 2012 from abrtop.loc

[Se conectou]

No exemplo, usei 4 tentativas de conexão para mostrar que após a última a tentativa de conexão que foi bloqueada, será feito um bloqueio no período de 60 segundos, para a máquina com IP na tabela que tem 2 ou mais conexões na porta 22 do protocolo TCP no intervalo de 60 segundos.

Perceba que, mesmo tentando se conectar antes de passar o período de 1 minuto, não consegui, como mostra a segunda e terceira tentativa, e sou obrigado a ficar bloqueado por mais 1 minuto até fazer a quarta tentativa, então, depois deste tempo consigo.

- Na máquina com as regras:

# iptables -nvL

Chain INPUT (policy ACCEPT 240 packets, 31935 bytes)
pkts bytes target prot opt in out source destination
4 240 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 recent: SET name: limitssh side: source
2 120 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02 recent: UPDATE seconds: 60 hit_count: 2 name: limitssh side: source reject-with icmp-port-unreachable

- Arquivo que armazena a tabela:

# cat /proc/net/xt_recent/limitssh

src=192.168.215.10 ttl: 64 last_seen: 4655212 oldest_pkt: 6 4633606, 4635219, 4635219, 4639933, 4639933, 4655212

Veja que na saída do comando "iptables -nvL", mostra os quatro pacotes que chegaram com requisição de conexão, e que dois realmente foram bloqueados.

Na tabela que fica dentro do arquivo com o nome da tabela no diretório “/proc/net/xt_recent/”, mostra o IP de origem e quantos pacotes foram enviados pelo mesmo.

Na segunda parte do Módulo Recent, mostrarei mais exemplos de uso.