Ajuda com IPTABLES [RESOLVIDO]

px
(usa Debian)

Enviado em 21/08/2013 - 17:40h

Você tera de revisar seu firewall também, notei algumas regras estranhas como:

$IPT -A INPUT -i venet0 -p tcp -m tcp --dport 7777 -j DROP
$IPT -I INPUT -i venet0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i venet0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP

Qual o seu objetivo ao fazer uso delas? elas podem estar ajudando o seu servidor a cair! nunca usei este connlimit por isso não posso afirmar com certeza por agora.

edit: ahh, entendi! ele boloqueia os ips que realizam mais de 2 ou 5 conexões nessas portas! interessante... o problema é que provavelmente eles falsificam os ips, mas com aquelas regras do sysctl.conf que te passei e estas acima deve bastar!






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 17:50h

Após a edição do arquivo informado, dou reboot no vps, e em seguida devo executar as regras iptables ou não há necessidade ?

-------------

Fiz a edição do arquivo dei RR no vps e executei o anti_ddos.sh mas mesmo assim ainda consigo atacar o servidor.

px
(usa Debian)

Enviado em 21/08/2013 - 17:54h

use o comando iptables -L ou iptables -L -n -v para ver se as regras estão ativas, caso estejam nem precisa executar dnv

Haa, em momentos de "pico" do servidor use o comando:

netstat -an | awk '/^tcp/ {A[$(NF)]++} END {for (I in A) {printf "%5d %s\n", A[I], I}}' 

para ver o numero de conexões ativas e inativas no servidor naquela hora!

edit:
vou ter de sair agora, tenho curso jaja, qualquer coisa posta aqui seus resultados que te dou uma força quando voltar, flw.

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 18:34h

Mesmo feito tudo isso e após executar o anti_ddos, ainda consigo atacar o servidor e ter exito. :'(

px
(usa Debian)

Enviado em 21/08/2013 - 22:42h

Só uma coisa, me diga quais portas você deseja usar para o público?

já tentou usar um IP externo (além do que você "ataca") para ver se realmente o host caiu com tanta facilidade?

este ataque não esta sendo feito de dentro do próprio servidor não né?

pode ter sido somente a conexão que excedeu algumas regras e foi rejeitada...


Que raios de arquivo é este anti_ddos.sh é o nome do script do seu firewall?





---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 21/08/2013 - 23:45h

Sim, o ip que uso para fazer o ataque é externo, e o anti_ddos.sh é meu "firewall" ou deveria ser.

As portas para o público são 2106, 7777. Se atacar essas portas da crash no meu GameServer e o jogo cai.

Se quiser pode baixar o programa que estou usando, ele não contém vírus, basta por o ip do servidor e a porta. Checar se ficar ALIVE é só atacar e pronto servidor caido.

Segue o link do programa Server Attcker V3
http://la2ini.net/download/

px
(usa Debian)

Enviado em 22/08/2013 - 00:31h

Tem mais alguma coisa que queira me passar? tipo você usa ssh, ou outro tipo de serviço que seja servidor?






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 22/08/2013 - 00:37h

Estou renderizando um vídeo para vc entender melhor o meu problema, uma coisa é eu tentar explicar e outra é vc ver com os próprios olhos o que está acontecendo. Já já eu posto aqui, só esperando renderizar e upar.
-----
Sim sim eu uso SSH e tenho que ter tbm conexão com a porta 3306.

Na vdd o que eu preciso de verdade funcionando para o público são as portas 2106, 7777 e 3306
2106 é a porta do LoginServer, 7777 do GameServer, 3306 do MySql para que eu possa logar remotamente e o site fazer conexão tbm com o banco de dados, e a porta do SSH 22. o resto pode bloquear tudo.

-----

Pronto, pode visualizar o vídeo neste link
http://la2ini.net/Iptables/

px
(usa Debian)

Enviado em 22/08/2013 - 01:26h

Blz meu amigo, provavelmente é o firewall msm, estou terminado de monta-lo aqui com base nas informações, só queria saber onde você arrumou as regras:

$IPT -I INPUT -i venet0 -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i venet0 -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP

estou meu encafifado com elas... será que não estão bloqueando acima das 2 conexões a rede toda? bem vou fazer o script sem elas por enquanto...

jaja posto ele aqui!

edit: só mais uma coisinha use o comando arp ou arp -n no seu servidor e poste a saida aqui!!!

você ira rodar smtp e web server neste pc também?




---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 22/08/2013 - 01:32h

Elas já vem no servidor, é uma proteção básica. Não é preciso coloca-las. Só funcionam no Turnkey :]

Fico super grato !!

px
(usa Debian)

Enviado em 22/08/2013 - 02:17h

Salve o arquivo no servidor com nome de fw , e a seguir de permissão de execução chmod +x fw, e execute o firewall, ./fw (logado como root)

#!/bin/sh



IPT=/sbin/iptables



UNPRIPORTS="1024:65535"

INET_IFACE="venet0"



# limpando tabelas

$IPT -F

$IPT -X



# Definindo as políticas padrões

$IPT -P INPUT DROP

$IPT -P OUTPUT ACCEPT

$IPT -P FORWARD DROP



# Libera acesso a loopback (interface local)

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A OUTPUT -o lo -j ACCEPT



# Libera o acesso a conexões já estabelecidas

$IPT -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT



# Dropando alguns tipos de pacotes

$IPT -A INPUT -m state --state INVALID -j DROP

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP



# Libera pro DNS

$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT

$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT



# Libera algumas portas dos serviços para o público (após terem passado pelos filtros acima)

$IPT -A INPUT -i INET_IFACE -p tcp -m multiport --dport 22,2106,3306,7777 -j ACCEPT



# Dropa todo o resto que não foi aceito nem bloqueado

$IPT -A INPUT -i INET_IFACE -j DROP 

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 22/08/2013 - 02:25h

Pow, cara vou testar aqui, tu merece um premio só por ficar comigo esse tempo todo tentando me ajudar.

Vou testar e breve posto o resultado.

--------------

Resultado

olha o que me retornou.

WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module ip_tables not found.
iptables v1.4.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
WARNING: Deprecated config file /etc/modprobe.conf, all config files belong into /etc/modprobe.d/.
FATAL: Module ip_tables not found.
iptables v1.4.8: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
iptables: No chain/target/match by that name.

---
Vamos descansar um pouco ? logo mais continuamos.
Mais uma vez só tenho a te agradecer !