Pacotes UDP [RESOLVIDO]

XxPoWeReDxX
(usa Ubuntu)

Enviado em 17/04/2012 - 14:32h

Gente como bloqueio pacotes UDP usando IPTABLES?

phrich
(usa Slackware)

Enviado em 17/04/2012 - 16:19h

iptables -A INPUT -p udp -s ip_de_orgigem -j DROP

Isto é um exemplo, mas vc deve saber:
- ORIGEM
- DESTINO

XxPoWeReDxX
(usa Ubuntu)

Enviado em 17/04/2012 - 17:49h

OPA, obrigado por me ajudar, mas eu queria bloquer todos os pacotes UDP, Como eu faria isso usando IPTABLES? Seria assim?

iptables -A INPUT -p udp -j DROP
iptables -A OUTPUT -p udp -j DROP
iptables -A FORWARD -p udp -j DROP

phrich
(usa Slackware)

Enviado em 17/04/2012 - 17:52h

Exato, mas lembre-se que existem serviços que necessitam do udp.

Acredito que seja melhor vc colocar as políticas padrões do seu firewall como DROP

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

e então vá liberando apenas o que vc precisar.

XxPoWeReDxX
(usa Ubuntu)

Enviado em 17/04/2012 - 17:58h

OK's mas eu ja fiz isso, e depois de liberar so as que eu precizo, eu ainda recebo esses pacotes que vem do programa mIRC, pelo que eu sei o programa manda pactoes UDP, e assim eles conseguem me derrubar, como eu posso ta impedindo esse programa?

phrich
(usa Slackware)

Enviado em 17/04/2012 - 18:02h

Explique melhor o que vc quer fazer.

Isto está em um servidor e dentro da sua rede interna vc tem um mirc instalado?

Vc está recebendo um ataque de fora ou de dentro?

XxPoWeReDxX
(usa Ubuntu)

Enviado em 17/04/2012 - 18:09h

desculpe pela minha bagunça, e o seguinte, tenho um servidor, entao quando eu ligo o servidor eu mando os comandos:

iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

que no caso ali em cima bloqueia tudo, entao eu libero so as que eu precizo ex:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT

entao depois de um tempo eu entro no servidor e vejo que alguem crasho ele, recentimente descobri que estão fazendo isso usando o mIRC, poxa eu nao entendi como eles conseguiram derrubar sendo que eu blokeie todos os pacotes de saida e entrada e so liberei as portas que precizo utilizando os comandos acima para cada porta que eu precizo. será expliquei direto agora K' :)? sera que nao tem como resolver isso?

phrich
(usa Slackware)

Enviado em 17/04/2012 - 18:16h

Algumas opções:

iptables -A INPUT -p udp -m limit --limit 1/sec -j ACCEPT

http://www.vivaolinux.com.br/artigo/Protecao-utilizando-fail2ban-contra-ataques-do-tipo

Ou adicionar o IP do atacante dentro de /etc/hosts.deny

ALL : ip_do_atacante

XxPoWeReDxX
(usa Ubuntu)

Enviado em 17/04/2012 - 18:19h

Obrigado pela sua ajuda amigo, eu estava perdido UASHuashSUAHu'
So mais uma duvida como eu descobru o IP do atacante? sem usar o SNORT?

phrich
(usa Slackware)

Enviado em 17/04/2012 - 18:41h

tcpdump -ni any host localhost


Caso vc esteja acessando remotamente, adicione and not port 22

Caso vc acesse por ssh por exemplo

Ou vc pode colocar uma regra de log para o iptables para o proto udp

antes de qqr regra:

iptables -A INPUT -p udp -j LOG

e então ver os logs em /var/log/messages

Acho que a segunda opção é mais fácil

XxPoWeReDxX
(usa Ubuntu)

Enviado em 17/04/2012 - 18:43h

Obrigado pela sua ajuda phrich!
Espero que enfim eu consgua bloquear os ataques agora... :)

phrich
(usa Slackware)

Enviado em 17/04/2012 - 18:47h

Recomendo que vc estude mais sobre Linux, iptables, redes, etc assim será mais fácil para os próximos problemas.

Dê uma lida neste artigo e crie um script para vc, assim, vc não vai precisar ficar digitando sempre os comandos, além de aprender um pouco sobre o iptables:

http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede

Dando certo, marque o tópico como resolvido ok?