Pocet zavedenych netfilter pravidel (iptables)

Poradna při řešení nejrůznějších problémů spojených s provozem virtuálních serverů.
Zamčeno
DeathWalker
Příspěvky: 2
Registrován: ned 07. úno 2016 9:40:33

Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od DeathWalker »

Zdravim,

Mam problem so servrom (id 525), svieti mi pri nom upozornenie ze 'Pocet zavedenych netfilter pravidiel presahuje limit'. Kedze sa k serveru nemozem pripojit cez ssh tak som si stiahol zalohu a ako v tom archive pozeram tak je tam 7 pravidiel v sysconfig + zopar ich moze pridat fail2ban... Poprosil by som tento neradostny stav napravit.

Vdaka.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od 4smart.cz »

Dobrý den,

Fail2Ban nedoporučuji používat. Jednak není zcela podporován naší technologií (F2B nemá v prostředí VPS schopnost zavádět dodatečné jaderné moduly) a jednak je F2B neefektivní pro použití ve VPS (zavádí velký počet chainů a pravidel iptables - čím více je těchto entit, tím déle trvá zpracování příchozích a odchozích packetů a tím se i zvyšuje odezva).

Hodnotu limitu numiptent Vám rád navýším, ne však pro víc než 300 pravidel. Hodnota 300 je doporučená maximální hodnota, vyšší počet pravidel by již způsoboval zbytečně vysoké latence (i na HW uzlu).
Pokud mohu doporučit, implementujte si vlastní množinu iptables pravidel podle služeb, které hostujete na svém VPS a F2B nepoužívejte.

J.M.
DeathWalker
Příspěvky: 2
Registrován: ned 07. úno 2016 9:40:33

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od DeathWalker »

Dobry den.

Nemyslim ze by bol problem primarne v F2B. Ta VPS odmieta spojenia hned po starte, v case ked F2B este nema najmensiu sancu prihodit do iptables pocet pravidiel ktore by presiahli limit. Potvrdenim je pohlad do logu F2B ktory ani nestihol nejake pravidla zaviest.

F2B pouzivam od doby ked som potreboval riesit zvysene naklady za sietovu prevadzku generovanu botmi ktore sa snazia uhadnut heslo do ssh (ignoruju odpoved serveru ze je mozne sa prihlasit len pomocou kluca, na reject od firewalu reaguju tak ako sa ocakava a daju pokoj). Mate inu, rovnako ucinnu alternativu k F2B? Zakazat cely net tak aby boli pokryti pripadny utocnici a zaroven bola mnozina pravidiel jednoducha je podla mna vysoko kontraproduktivne.

Primarny problem ale tkvie v tom ze sa od soboty nemozem prihlasit, tak som vytvoril zalohu ktoru som stiahol a prezrel logy a nastavenia. V iptables sa po starte nachadza 7 pravidiel, po instalacii F2B ziadny problem nejaky cas nebol.

Zelam prijemny den.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od 4smart.cz »

Dobrý den,

pokud se nemůžete přihlásit, je problém buď v iptables (výchozí chování DROP), nebo v jiném pravidle, případně může být problém v samotném ssh, nebo je Váš VPS kompromitovaný či dochází k jiné události, například sshd nestartuje, apod.
Mohu se Vám na to podívat. Kontaktujte mě s pomocí emailu (podpora[z]4smart.cz). Nezapomeňte uvést heslo zákaznické podpory, abych Vás mohl ověřit.

J.M.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od xsouku04 »

Pokud někdo útočí na SSH pořád dokola jako přihlouplý blázen, tak primitivně jednoduché a přitom velmi účinné řešení může být otevřít sshd na nestandardním portu. Třeba 53489, rázem se počet pokusů začne blížit nule. Vřele to lze doporučit už jako prevenci. Jde o to, že pro útočníka je mnohem efektivnější zkusit 64 tisíc veřejných IP adres než skenovat všechny porty jediné IP adresy, kde stejně většinou ssh na nestandardním portu otevřené není.

Nevím, jestli to jde použít na 4smart, ale obecně může být dobré také omezovat počet nových TCP spojení na ssh za minutu z jedné IP adresy, což lze popsat jediným pravidlem. fail2ban doporučuji, pokud je to možné, se raději vyhnout. Principiálně je lepší se s útočníkem vůbec nebavit, než se snažit něco diagnostikovat z logů a pak jej teprve banovat. Ono z logů nelze vyčíst vše a může se to polámat.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od 4smart.cz »

VPS uživatele byl zpřístupněn po zadání
iptables -F
všech F2B pravidel a chainů.

J.M.
lunix
Příspěvky: 1
Registrován: pon 22. úno 2016 9:12:32

Re: Pocet zavedenych netfilter pravidel (iptables)

Příspěvek od lunix »

Ja pouzivam -m recent, kterym se da omezit pocet spojeni z jedne zdrojove adresy za urcity cas. Bezni roboti to s podobnym nastavenim vzdavaji celkem rychle. Vyhoda je, ze se nepridavaji zadna dodatecna pravidla do iptables.

-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j LOG --log-prefix "ssh connection drop" --log-level 5
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
-A INPUT -p tcp --dport 22 -j LOG --log-prefix "ssh connection accept:" --log-level 5
-A INPUT -p tcp --dport 22 -j ACCEPT
Zamčeno