Debian Iptables Squeeze / Neue version / auch bei Plesk anwendbar!

Hi @ All,

ich habe das letzte halbe Jahr viel mit IPTABLES rum gespielt und einiges ausprobiert.
Ich musste leider feststellen das einige Datenbanken im Internet was die Subnetzte betrifft veraltet sind bzw. nicht ganz stimmen.
Daher nutze ich nicht mehr die alte IPLIST von mir da es bei meinen Kunden einige Probleme gab, da die Subnetzte einfach zu groß waren und dadurch Netzte gesperrt wurde die z.B.: auch hier zu lande genutz werden.

Mittlerweile prüfe ich meine Logfiles mit scripten bzw. manuell und entscheide dann Individuell welche Netzwerke ich blocke und welche nicht.

Alle Befehle findet Ihr in meinem alten Blog zu IPTABLES –>

Ich prüfe dazu folgende Logs und suche nach Entsprechnenden einträgen:

/var/log/syslog
Suchparameter: rejected, FAILED, warningrejected = E-Mail Sender die aus irgendeinem Grund von meinem E-Mail Server abgelehnt wurden
FAILED = Falsche Anmeldedaten am SMTP
warning = Falsche Anmeldedaten und mehr

/var/www/vhost/*/statistics/logs/error_log
/var/www/vhost/*/statistics/logs/access_log

Suchparameter: w00tw00t Fucking ZmEu pixray.com yandex baidu
w00tw00t = sucht nach Sicherheiutslücken in apache und mysql
ZmEu = versucht die gefunden lücken von w00tw00t aus zu nutzen
Fucking = morfeus bot der das gleiche wie w00tw00t versucht
pixray.com = durch Sucht deine Webseite nach Bilder die eventuell ein Copyright haben und Mahnt einen dann ab
yandex = eine art Googlebot aus Russland, brauch ich nicht. Meine Persöhnlich Meinung
baidu = Suchbot aus China, brauche ich auch nicht

/opt/psa/admin/logs/httpsd_access_log
Suchparameter: 400
Versuchte Login versuche in das Plesk admin Menü

Optional:

/var/log/auth.log
Suchparameter: failed
Hier findet man Fehlergeschlagene Loginversuche für SSH, FTP
Hier finde ich nie was da bei FTP die meinsten Programme benutzen die die Richtigen daten eingetragen haben und SSH passiert bei mir nicht seit dem mein SSH nicht mehr auf 22 läuft.

Bei der Loganalyse muss man Googlen oder einfach etwas rum probieren und mit der Zeit bekommt man routine beim Lesen der Einträge und weiß dann was wichtig ist und was nicht.

Die Scripte kann ich im moment nocht nicht Posten bzw. zum Download anbieten da nicht Ich diese schreibe sonder mein kumpel c00lRun von www.wordpress.twinkclub.de und wir sind noch am Testen wie wir alles am besten umsetzten und auch sicher stellen können das alles funktioniert ohne das man sich selbst abschiesst oder auch Kunden.
Wenn aber alles so läuft wie es soll gibts ein Update mit Anleitung, danach könnt Ihr Fail2ban vergessen, den das ist einfach zu doof, meiner Meinung nach und sonst gibt es ja nichts vergleichbares.

Zum habe ich hier auf WP Wassup am laufen und da schau ich auch gerne mal rein um nach Fakebesuchern zu schauen, die Block ich dann auch via IPTABLES, da manche am Tag über 1000 Seitenbesuche generieren die aber keine sind und man findet keine “echten” Besucher mehr. Die meisten die ich bis jetzt hatte kamen alle aus der Ukraine.

Es gibts auch noch die Möglichkeit Listen wie die von https://www.blocklist.de/ ein zu pflegen, ich hab das mal Versucht mit dem Erfolg das ich meinen Server neustarten musste und die IPTABLES leeren, da dies einfach zuviele einträge waren und alles einzel IPs. Danach hatte ich einen ping von 3sek. zu meinem Server und der LOAD avg. lag bei 6, normal sind 0,04 bei mir.
Daher habe ich das dann lieber gelassen und ich blocke lieber ganze Subnetzte(Netzwerke) sofern das möglich ist.
Man muss auch immer schauen woher diese IPs kommen und was man selbst oder auch die Kunden machen.
Wenn man nur Kunden hat die lokal Ihren Service anbieten bzw. nur innerhalb Deutschlands, muss man sich wenige sorgen machen wenn man IPs aus dem Ausland sperrt.
Hat man aber allerdings Gameserver, TS3 Server oder auch Kunden die International aggieren muss man hier Vorsichtige sein und eventuell sich eine Kundenliste gebene lassen um den Betrieb seines Kunden nicht zu Stören und dies dann alle als ACCEPT einzupflegen. Zum Einpflegen kann man dann auch das Script benutzen welches in meinem alten Blog zu dem Thema steht nur anstatt DROP sollten dann die Ips auf ACCEPT gehen.

Das tolle ist bei IPTABLES das man sagen kann z.B.: ich blocke das Subnetz: 10.10.0.0/16 mit DROP aber setzte die IP 10.10.5.2 auf ACCEPT. Somit sind eigentlich alle IPs aus dem netzgeblockt aber diese eine IP kommt trotzdem rein und es gibt dadurch auch keine Probleme.

Um an die Betreiber bzw. Subnetze zukommen nutze ich die Seite: http://bgp.he.net/ hier bekommt man rechte gute Infos und nicht wie bei vielen das gleich RIPE NCC und mehr nicht. Dadurch kann man ganz gut immer kleine Netzwerke im Bereich von 16-24 eintragen und bekommt fast keinen Stress.
Zu dem Prüfe ich auch die Domains mit www.mxtoolbox.com um sicher zu gehen das nicht ich einen Fehler gemacht habe.

Bei Adressen aus Deutschland nehme ich eigentlich immer nur die IP und nicht das Subnetz aber auch nur wenn es kein ADSL Anschluss ist mit Dynamischer IP den das macht auch keinen sinn.

Ich arbeite auch nicht mehr mit Benutzerdefinierten CHAINS ich hau immer alles in INPUT direkt rein.

Die Wichtigsten Befehle die ich in IPTABLES benutze:
iptables -I INPUT -s IPADRESSE -j DROP // Ipadresse oder Subnetz wird gedropt also weggeschmiessen
iptables -D INPUT -s IPADRESSE -j DROP // Ipadresse oder Subnetzt wird aus der IPTABLES Bereich INPUT gelöscht
iptables -L -n --line-numbers // Auflistung alle Regeln in IPTABLES
iptables -L INPUT -n  --line-numbers // Auflistung aller Regeln aus der CHAIN INPUT
iptables -L INPUT -v -n //Auflistung aller Regeln aus der CHAIN INPUT mit Packeten und Bytes die Ankommen. Ist ganz interessant da man hier sieht wieviele Packete bzw. Bytes für die Entsprechende Regel rein kommen.

Eigentlich sollte man mit all diesen Infos gut zurecht kommen und sein System gut absichern können, auf jedenfall kann ich nur sagen aus Eigener erfahrung sind meine Logfiles kleiner geworden und es wird auch immer ruhiger auf meinem Server :)

Bei Fragen wie immer das Kontakt Formular benutzen oder einen Kommentar hinterlassen.

 

Gruß
Cheech

Markiert mit , , , , , , .Speichere in deinen Favoriten diesen Permalink.

Kommentare

  1. Max sagt:

    Alternativ kann man PixRay Seeker und andere Spambots usw. auch mit Hilfe von Varnish blockieren. Wir beschreiben hier wie das geht:

    http://catfind.it/2012/01/block-pixray-seeker-in-varnish/

    Vielen Dank für die anderen wertvollen Hinweise, bspw. zu w00tw00t !

  2. Gernot sagt:

    Finde ich super, dass hier staendig geschrieben wird.

  3. Martin sagt:

    Es gibt nun auch die Api um sich nur die IP-Adressen zu holen, welche nach xx-Uhr Angriffe gefahren haben. Dadurch muss man nicht alle tausend IPs von z.b. der all.txt durchmachen:
    http://blog.blocklist.de/2012/03/22/nur-die-zuletzt-hinzugefugten-ip-adressen-herunter-laden/

    mfg Martin