Pocet zavedenych netfilter pravidel (iptables)

Poradna při řešení nejrůznějších problémů spojených s provozem virtuálních serverů.

Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod DeathWalker » ned 07. úno 2016 12:04:30

Zdravim,

Mam problem so servrom (id 525), svieti mi pri nom upozornenie ze 'Pocet zavedenych netfilter pravidiel presahuje limit'. Kedze sa k serveru nemozem pripojit cez ssh tak som si stiahol zalohu a ako v tom archive pozeram tak je tam 7 pravidiel v sysconfig + zopar ich moze pridat fail2ban... Poprosil by som tento neradostny stav napravit.

Vdaka.
DeathWalker
 
Příspěvky: 2
Registrován: ned 07. úno 2016 10:40:33

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod admin » pon 08. úno 2016 7:11:47

Dobrý den,

Fail2Ban nedoporučuji používat. Jednak není zcela podporován naší technologií (F2B nemá v prostředí VPS schopnost zavádět dodatečné jaderné moduly) a jednak je F2B neefektivní pro použití ve VPS (zavádí velký počet chainů a pravidel iptables - čím více je těchto entit, tím déle trvá zpracování příchozích a odchozích packetů a tím se i zvyšuje odezva).

Hodnotu limitu numiptent Vám rád navýším, ne však pro víc než 300 pravidel. Hodnota 300 je doporučená maximální hodnota, vyšší počet pravidel by již způsoboval zbytečně vysoké latence (i na HW uzlu).
Pokud mohu doporučit, implementujte si vlastní množinu iptables pravidel podle služeb, které hostujete na svém VPS a F2B nepoužívejte.

J.M.
admin
Administrátor
 
Příspěvky: 1371
Registrován: úte 12. říj 2010 9:16:11

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod DeathWalker » pon 08. úno 2016 11:12:37

Dobry den.

Nemyslim ze by bol problem primarne v F2B. Ta VPS odmieta spojenia hned po starte, v case ked F2B este nema najmensiu sancu prihodit do iptables pocet pravidiel ktore by presiahli limit. Potvrdenim je pohlad do logu F2B ktory ani nestihol nejake pravidla zaviest.

F2B pouzivam od doby ked som potreboval riesit zvysene naklady za sietovu prevadzku generovanu botmi ktore sa snazia uhadnut heslo do ssh (ignoruju odpoved serveru ze je mozne sa prihlasit len pomocou kluca, na reject od firewalu reaguju tak ako sa ocakava a daju pokoj). Mate inu, rovnako ucinnu alternativu k F2B? Zakazat cely net tak aby boli pokryti pripadny utocnici a zaroven bola mnozina pravidiel jednoducha je podla mna vysoko kontraproduktivne.

Primarny problem ale tkvie v tom ze sa od soboty nemozem prihlasit, tak som vytvoril zalohu ktoru som stiahol a prezrel logy a nastavenia. V iptables sa po starte nachadza 7 pravidiel, po instalacii F2B ziadny problem nejaky cas nebol.

Zelam prijemny den.
DeathWalker
 
Příspěvky: 2
Registrován: ned 07. úno 2016 10:40:33

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod admin » pon 08. úno 2016 12:45:24

Dobrý den,

pokud se nemůžete přihlásit, je problém buď v iptables (výchozí chování DROP), nebo v jiném pravidle, případně může být problém v samotném ssh, nebo je Váš VPS kompromitovaný či dochází k jiné události, například sshd nestartuje, apod.
Mohu se Vám na to podívat. Kontaktujte mě s pomocí emailu (podpora[z]4smart.cz). Nezapomeňte uvést heslo zákaznické podpory, abych Vás mohl ověřit.

J.M.
admin
Administrátor
 
Příspěvky: 1371
Registrován: úte 12. říj 2010 9:16:11

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod xsouku04 » pon 08. úno 2016 12:47:22

Pokud někdo útočí na SSH pořád dokola jako přihlouplý blázen, tak primitivně jednoduché a přitom velmi účinné řešení může být otevřít sshd na nestandardním portu. Třeba 53489, rázem se počet pokusů začne blížit nule. Vřele to lze doporučit už jako prevenci. Jde o to, že pro útočníka je mnohem efektivnější zkusit 64 tisíc veřejných IP adres než skenovat všechny porty jediné IP adresy, kde stejně většinou ssh na nestandardním portu otevřené není.

Nevím, jestli to jde použít na 4smart, ale obecně může být dobré také omezovat počet nových TCP spojení na ssh za minutu z jedné IP adresy, což lze popsat jediným pravidlem. fail2ban doporučuji, pokud je to možné, se raději vyhnout. Principiálně je lepší se s útočníkem vůbec nebavit, než se snažit něco diagnostikovat z logů a pak jej teprve banovat. Ono z logů nelze vyčíst vše a může se to polámat.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6351
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod admin » pon 08. úno 2016 13:42:56

VPS uživatele byl zpřístupněn po zadání
iptables -F
všech F2B pravidel a chainů.

J.M.
admin
Administrátor
 
Příspěvky: 1371
Registrován: úte 12. říj 2010 9:16:11

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvekod lunix » pon 22. úno 2016 10:22:42

Ja pouzivam -m recent, kterym se da omezit pocet spojeni z jedne zdrojove adresy za urcity cas. Bezni roboti to s podobnym nastavenim vzdavaji celkem rychle. Vyhoda je, ze se nepridavaji zadna dodatecna pravidla do iptables.

-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j LOG --log-prefix "ssh connection drop" --log-level 5
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
-A INPUT -p tcp --dport 22 -j LOG --log-prefix "ssh connection accept:" --log-level 5
-A INPUT -p tcp --dport 22 -j ACCEPT
lunix
 
Příspěvky: 1
Registrován: pon 22. úno 2016 10:12:32


Zpět na Řešení problémů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 2 návštevníků