Ajuda com IPTABLES [RESOLVIDO]

tmello
(usa Debian)

Enviado em 20/08/2013 - 01:40h

Ola pessoal do vivaolinux, me chamo Thiago, e hoje estou aqui precisando de uma enorme ajuda de vocês.
Contratei um servidor Linux e pedi a instalação do Debian 7 64bit, mas notei que quando dou o comando "ifconfig" para eu saber a interface de rede, me retorna isso
"venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255"
e
"venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:93.188.163.108 P-t-P:93.188.163.108 Bcast:93.188.163.108 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1"

Tenho estas regras iptables aqui
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 2106 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 7000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT
/sbin/iptables -I INPUT -i eth0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
/sbin/iptables -I INPUT -i eth0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP
/sbin/iptables -A INPUT -p icmp -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -s 0/0
/sbin/iptables -A INPUT -p udp -m udp -i eth0 --dport 1024:65535 --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65353 --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65535 --sport 21 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport 1024:65535 -j ACCEPT --sports 80,443 ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65535 --sport 25 -j ACCEPT

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT

Se eu executa-la do jeito que está eu perco acesso SSH e tenho que dar Reboot no Servidor.
Se eu troco a interface de eth0 para venet0, eu não perco acesso mas se eu der o comando apt-get update, o comando não consegue baixar os arquivos de atulização.
Se eu troco a interface de eth0 para venet0:0 eu perco acesso SSH e tenho que dar Rebot no servidor.

Alguém por favor, sabe uma maneira de fazer essas regras funcionarem.

Obs. essas regras funcionam perfeitamente em um linux virtualizado em localhost.

px
(usa Debian)

Enviado em 20/08/2013 - 03:27h

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 2106 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 7000 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT
/sbin/iptables -I INPUT -i eth0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
/sbin/iptables -I INPUT -i eth0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP
/sbin/iptables -A INPUT -p icmp -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j ACCEPT
/sbin/iptables -A INPUT -p udp -m udp -i eth0 --dport 1024:65535 --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65353 --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65535 --sport 21 -j ACCEPT ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport 1024:65535 -j ACCEPT --sports 80,443 ! --syn
/sbin/iptables -A INPUT -p tcp -m tcp -i eth0 --dport 1024:65535 --sport 25 -j ACCEPT



tente assim ^^

Obs: se der erro no módulo carregue o modulo conntrack, modprobe ip_conntrack ou modprobe ipt_conntrack


---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 00:53h

É como eu disse, quando eu estava testando em localhost que o nome de interface é eth0 funcionou perfeitamente, todos os programas que tenho aqui DDoS não funcionaram nenhum, mas no 'VPS' que tem o nome de interface 'venet0' a história muda, pois mesmo que eu troque nas regras o nome 'eth0' para 'venet0' eu até consigo ficar conectado via SSH, mas eu tenho exito em aceitar os ataques.

O que eu queria de fato é saber se há alguma regra que se estabeleça com o nome de interface do VPS

Olha como eu deixei as regras.

#!/bin/sh
IPT=/sbin/iptables

UNPRIPORTS="1024:65535"
INET_IFACE="venet0"

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o venet0 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp -m tcp --dport 2106 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 7000 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 3306 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp -m tcp --dport 7777 -j ACCEPT
$IPT -I INPUT -i venet0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i venet0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP
$IPT -A INPUT -p icmp -i venet0 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p icmp --icmp-type 8 -s 0/0
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT

px
(usa Debian)

Enviado em 21/08/2013 - 07:51h

Não estou intendendo nada do que você esta querendo, fale em palavras meu querido! explique detalhadamente, pois sem intender ŋão da pra ajudar e eu fico perdido →↓←






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 11:04h

Bom vou explicar melhor, aluguei um VPS com SO Debian 6 64Bit, tudo funcionando perfeitamente.
Mas notei que o nome da interface de rede não se chama "eth0" e sim "venet0", tenho umas regras anti_ddos que funcionam perfeitamente com a interface de rede "eth0", mas que deixou de funcionar no vps que tem a interface de rede "venet0".

Segue as regras originais para interface "eth0".
#!/bin/sh
IPT=/sbin/iptables

UNPRIPORTS="1024:65535"
INET_IFACE="eth0"

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp -m tcp --dport 2106 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 7000 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 3306 -j ACCEPT -s 127.0.0.1
$IPT -A INPUT -i eth0 -p tcp -m tcp --dport 7777 -j DROP
$IPT -I INPUT -i eth0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i eth0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP
$IPT -A INPUT -p icmp -i eth0 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p icmp --icmp-type 8 -s 0/0
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT

Em localhost com uma maquina virtual essas regras funcionam muito bem (como mencionei acima), mas quando eu coloco no VPS, eu perco conexão SSH.

Alterei o nome "eth0" para "venet0" e aparentemente resolveu o problema de perder conexão SSH, mas recebo qualquer tipo de ataque DDoS.

Gostaria que alguém me ajudasse a adaptar essas regras para funcionar no meu VPS que tem a interface de rede com o nome de "venet0".

Buckminster
(usa Debian)

Enviado em 21/08/2013 - 13:09h

Provavelmente essa interface "venet0" é a interface do teu servidor virtual.
Seria interessante você verificar junto ao provedor desse VPS se os outros que alugam também estão recebendo ataques DoS, pois se esses ataques vem de fora, entram pela(s) interface(s) física(s) da máquina do VPS.
Aliás, ataques Dos e DDoS não tem como bloquear completamente, somente minimizar.

px
(usa Debian)

Enviado em 21/08/2013 - 15:06h

Ahh agora sim, bom como esta seu script de iptables atualmente? e quais tipos de ferramentas são utilizadas nos Dos e DDos? qual a porta e tipo de pacotes enviados para lá? já ativou os syncookies? tente verificar a configuração do /etc/sysctl.conf temos opções bem interessantes como:




fico esperando o feedback desta msg, abç.

edit: da uma lida em alguns sites para entender como funcionam estas opções e configura-las para seu caso, em speedguild é um bom ponto de partida:
http://www.speedguide.net/articles/linux-tweaking-121


---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 16:17h

Atualmente as regras estão assim.

#!/bin/sh
IPT=/sbin/iptables

UNPRIPORTS="1024:65535"
INET_IFACE="venet0"

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o venet0 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp -m tcp --dport 2106 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 7000 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 3306 -j ACCEPT -s 127.0.0.1
$IPT -A INPUT -i venet0 -p tcp -m tcp --dport 7777 -j DROP
$IPT -I INPUT -i venet0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i venet0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP
$IPT -A INPUT -p icmp -i venet0 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -i venet0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
$IPT -A INPUT -p icmp --icmp-type 8 -s 0/0
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT

-----

Dei uma olhada no arquivo que me indicou dar uma olhada, boa parte das opções que vc citou não existe no arquivo, SO Debian 6 64 bit.

-----

São utilizadas as portas 2106 e 7777 ambas TCP, são portas de comunicação client > servidor.
-----
Não sei quase nada a respeito de programas DoS ou DDoS, baixei um tal de server attacker 3.0 que a grande parte dos jogadores de Lineage usam.

-----

Configuração atual /etc/sysctl.cong

#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
# Enabling this option disables Stateless Address Autoconfiguration
# based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

tmello
(usa Debian)

Enviado em 21/08/2013 - 17:00h

Adicionei essas linhas que vc citou e realmente não consigo mais atacar o servidor, mas tbm não consigo acessar o MySql remotamente. :/

px
(usa Debian)

Enviado em 21/08/2013 - 17:05h

CALMA! eu citei estas linhas como referencias não pra você sair aplicando sem ler antes, vou falar quais você deve modificar, mas qual é a banda do seu servidor e quanta memória ram ele possui?



---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 17:12h

A banda do meu VPS é 100MB, 8GB de ram e Processador de 9 Cores.

as portas que eu preciso que funcionem são 2106, 3306, 7777, 22,
a 2106 e 7777 são exatamente as portas que são atacadas para fechar o servidor.

------------
Desculpe-me, mas é que já estou a 2 dias tentando resolver já mandei vários tickets para o suporte da hospedagem mas ninguém me dá uma solução.

px
(usa Debian)

Enviado em 21/08/2013 - 17:31h

OK! bom de inicio podemos alterar o arquivo que lhe indiquei para parar esses "carinhas" ou freia-los pelo menos, primeiro salve uma copia original deste arquivo com o comando:

cp /etc/sysctl.conf /etc/sysctl.conf_BKP

Logue como root antes!



após editaremos o arquivo original, o /etc/sysctl.conf, apague tudo nele e deixe como abaixo: