Ajuda com IPTABLES [RESOLVIDO]

px
(usa Debian)

Enviado em 22/08/2013 - 02:31h

Você executou como root?

blz! ta show pô, acho que o problema foi de permissão ou módulos faltando hehe, mas deixa pra amanhã... só antes tente executar como root lá, e faça as alterações que postei no comentário do script passando para seu arquivo "fw"




---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 22/08/2013 - 10:43h

Sim, eu sempre executo como root.

px
(usa Debian)

Enviado em 22/08/2013 - 10:55h

Já testou pra ver se o tal ataque ta pegando?






---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 22/08/2013 - 11:08h

eu perdi conexão com SSH, banco de dados, login e game. Ai tive que reiniciar o vps.
Não deu pra atacar mas tbm não deu pra logar.

px
(usa Debian)

Enviado em 22/08/2013 - 13:14h

Tenta assim:

#!/bin/sh

IPT=/sbin/iptables

UNPRIPORTS="1024:65535"
INET_IFACE="venet0"

# limpando tabelas
$IPT -F
$IPT -X

# Definindo as políticas padrões
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# Libera acesso a loopback (interface local)
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Libera o acesso a conexões já estabelecidas
$IPT -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Libera algumas portas dos serviços para o público
$IPT -A INPUT -p tcp -m multiport --dport 22,2106,3306,7777 -j ACCEPT

# Libera pro DNS
$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT

# Dropando alguns tipos de pacotes (tente descomentar caso perder a conexão)
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Dropa todo o resto que não foi aceito nem bloqueado
$IPT -A INPUT -i INET_IFACE -j DROP


Tente acrescentar algumas coisas que você usa e poste aqui pra fazermos o firewall de acordo com a necessidade da rede...

---
Atenciosamente, Pedro.

Já leu meu último artigo?
LINK:
http://www.vivaolinux.com.br/artigos/userview.php?login=px

Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

E seja feliz!

tmello
(usa Debian)

Enviado em 22/08/2013 - 17:54h

Não estou em casa, chegando lá eu dou uma testada !

tmello
(usa Debian)

Enviado em 22/08/2013 - 19:17h

Nada cara, mesmo com essas modificações ai, ainda consigo atacar o servidor. Estou desesperado, acredito que terei de trocar de empresa que hospeda o servidor.

Descobri algo importante. O que está acontecendo é pq justamente essas linhas aqui
$IPT -I INPUT -i $INET_IFACE -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i $INET_IFACE -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP

elas que fazem o anti_ddos funcionar para nós administradores de Lineage.

Tenho que dar Patch-o-matic, que vai aumentar consideravelmente a funcionalidade do meu iptables e vai aceitar essas 2 linhas, mas ai está o grade problema eu não sei fazer esse patch-o-matic funcionar.

Buckminster
(usa Debian)

Enviado em 22/08/2013 - 21:09h

Como já te falei, é impossível parar ataques DoS e DDoS, você pode somente minimizar.
E como já te falei antes também: entre em contato com o provedor VPS. Os ataques estão entrando pelas interfaces físicas.

tmello
(usa Debian)

Enviado em 22/08/2013 - 21:37h

Ola, boa noite. Estou compilando uma kernel, pois notei que varios modulos não existem. E descobri tbm que como esses modulos não existem meu iptables não reconhece justamente as 2 linhas que bloqueiam o programa, fiz o teste em localhost, e foi assim que descobri. Já me comuniquei com a empresa, e eles disseram que é impossível os ataques passarem pela interface física, pois eles tem um firewall muito bom '-', vou terminar de compilar, e dar patch-o-matic no iptables para ver qual vai ser.

Buckminster
(usa Debian)

Enviado em 22/08/2013 - 21:49h

É conversa mole deles. Não existe firewall que bloqueie ataques DoS e DDoS.
O que deve estar acontecendo é que o firewall deles está mal configurado.
E se não está mal configurado, então os ataques estão partindo de dentro do próprio servidor, o que é pior ainda.
No teu script do Iptables você deve levantar os módulos, por exemplo:

modprobe iptable_nat

O Iptables levanta os módulos principais automaticamente, mas tem alguns módulos que precisa levantar no script.

Veja isto:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

tmello
(usa Debian)

Enviado em 22/08/2013 - 23:51h

Eu já tentei mas da erro. meu iptables tá funcionando 100% em localhost mas quando eu coloco no vps tem uma penca de linhas que não funcionam, o que inclui essas aqui
$IPT -I INPUT -i $INET_IFACE -p tcp --dport 2106 -m connlimit --connlimit-above 2 -j DROP
$IPT -I INPUT -i $INET_IFACE -p tcp --dport 7777 -m connlimit --connlimit-above 5 -j DROP

que faz com que o programa que ataca as portas não funcione.

se eu por linhas NAT tbm não funciona.