[SOLUCIONADO] Fail2ban y expresión regular
Hola Julher. Me funcionó perfecto, muchas gracias por tu ayuda !!! Había que ir a lo más sencillo vergüenza me da :P Muchas gracias nuevamente. Saludos. Diego. El mar., 2 oct. 2018 a las 10:28, escribió: > > El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió: > > Buenas... > > Estoy renegando con fail2ban y las expresiones regulares (no son mi > > fuerte), a ver si alguien me puede tirar una mano. > > Estuve mirando varias paginas y los filtros ya creados en el servicio > > para tomarlos como referencia pero no doy en la tecla. > > Tengo varios logs como estos que genero mediante IPTABLES: > > > > Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado: > > IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00 > > SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119 > > ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN > > URGP=0 > > > > En jail.conf tengo: > > > > [flooddetectado] > > enabled = true > > port = all > > filter = flooddetectado > > logpath = /var/log/messages > > maxretry = 10 > > action = iptables-allports[name=flooddetectado, > > port="22,25,80,443", > > protocol=tcp] > > > > y en los filtros, dentro de flooddetectado.conf : > > > > [Definition] > > failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$ > > Intenta con algo más simple, por ejemplo: > > failregex = Flood detectado: .* SRC= .*$ > > Un saludo > > JulHer > >
Fail2ban y expresión regular
Buenas... Estoy renegando con fail2ban y las expresiones regulares (no son mi fuerte), a ver si alguien me puede tirar una mano. Estuve mirando varias paginas y los filtros ya creados en el servicio para tomarlos como referencia pero no doy en la tecla. Tengo varios logs como estos que genero mediante IPTABLES: Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado: IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00 SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 En jail.conf tengo: [flooddetectado] enabled = true port = all filter = flooddetectado logpath = /var/log/messages maxretry = 10 action = iptables-allports[name=flooddetectado, port="22,25,80,443", protocol=tcp] y en los filtros, dentro de flooddetectado.conf : [Definition] failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$ ignoreregex = Al correr el test fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/flooddetectado.conf no detecta nada: Running tests = Use failregex line : ^Flood\ detectado:\ IN=eth0\ OUT=\ MAC=*\ SRC=$ Use log file : /var/log/messages Results === Failregex: 0 total Ignoreregex: 0 total Date template hits: |- [# of hits] date format | [77373] MONTH Day Hour:Minute:Second `- Lines: 77373 lines, 0 ignored, 0 matched, 77373 missed Missed line(s): too many to print. Use --print-all-missed to print all 77373 lines También probe con otros filtros: '^%(__prefix_line)Flood\ detectado:\ IN=eth0\ OUT=\ MAC=*\ SRC=$' ^%(__line_prefix)s(\.\d+)?( error:)?\s*Flood\ detectado:\ IN=*\ OUT=\ MAC=*\ SRC=*$ ^( .*)Flood\ detectado:\ IN=*\ OUT=\ MAC=*\ SRC=*$ Pero nada... Si alguien me puede tirar una mano con la expresión regular a utilizar se agradece sobremanera! Muchas gracias. Saludos. Diego. =========== "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail === Usá Software Libre.
Re: Problema en la validación de usuarios en Roundcube utilizando Postfix+Dovecot+LDAP sobre Debian 7
El día 24 de septiembre de 2014, 10:43, Camaleón escribió: > Entonces quizá se un problema del paquete de Debian... hum, mira, este > bug parece estar relacionado con el error que te daba: > > [roundcube] can't modify identities since wheezy > https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=711904 > > Saludos, Si, eso parece. No dí en la tecla para hacerlo funcionar con el paquete de los repos de Debian, si con las fuentes descargadas desde la web de Roundcube, por lo que no marco el hilo como solucionado :p Gracias por tu respuesta. Saludos. Diego. =========== "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cae1oxfyytlvfofbfybrt5ggwoaqop921h6jpcoq+rgn-mw6...@mail.gmail.com
Re: Problema en la validación de usuarios en Roundcube utilizando Postfix+Dovecot+LDAP sobre Debian 7
El día 23 de septiembre de 2014, 11:12, Camaleón escribió: > Pues en su página no dicen nada de los sistemas de autentificación que > admite, sólo mencionan el uso de bases de datos SQL pero no indican la > posibilidad de usar otros métodos alternativos (LDAP, sasldb, PAM...). > > Echa un vistazo a esta página donde han configurado un sistema de correo > parecido al que tienes, a ver si te da alguna pista: > > Installing a Mailserver with Postfix, Dovecot, SASL, LDAP & Roundcube > http://acidx.net/wordpress/2014/06/installing-a-mailserver-with-postfix-dovecot-sasl-ldap-roundcube/ > > Saludos, Gracias Camaleón. Había rondado por esa página. La verdad es que no dí con la solución... o sí, se vamos a lo práctico. A mí me gusta instalar todo con la misma herramienta y desde los repos oficiales, por lo que siempre uso aptitude; pero en este caso (después de renegar mucho) no me quedo otra que desinstalar, bajar las fuentes de http://roundcube.net/download/ y configurar. Acá salió andando a la primera. Si encuentro el error después de comparar mis archivos de config de una y otra install lo comparto. Saludos. Diego. =========== "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cae1oxfadn9rxuj8cgktd_nmgrdgqjc274xkpkgnssjrloun...@mail.gmail.com
Problema en la validación de usuarios en Roundcube utilizando Postfix+Dovecot+LDAP sobre Debian 7
Buenas... Consulto sobre el tema luego de buscar "bastante" y probar varias configs. Estuve mirando por esDebian, http://trac.roundcube.net/wiki/, www.howtoforge.com y no se cuantos sitios mas :p Este es el escenarios: Distintas maquinas virtuales de Debian 7 en OpenVZ sobre Debian 7 :) 1 contenedor con Postfix+Dovecot 1 contenedor con Apache2+PhpMyAdmin+PhpLdapAdmin+Roundcube 1 contenedor con MySQL 1 contenedor con OpenLDAP Ya tengo configurado correctamente Postfix/Dovecot validando contra OpenLDAP. Usando Telnet o configurando un cliente de correos (Thunderbird) puedo utilizar el servicio de correo sin problemas. Desde el server con Apache puedo acceder tanto a MySQL como a OpenLDAP utilizando las interfaces web de PHP y tambien loguearme al IMAP utilizando telnet 143. Llego la hora de instalar un webmail (no todos usan un cliente de correos) y elegí Roundcube. Lo instale en el server con Apache2 y ya puede acceder mediante http://mi_dominio/webmail El tema es que no doy con la tecla en la configuración de Roundcube para que valide usuario y contraseña utilizando mis usuarios del árbol LDAP del otro server. Estas son las lineas que modifiqué en mí /etc/roundcube/main.inc.php: // -- // IMAP // - $rcmail_config['default_host'] = '192.168.0.247'; #IP server Postfix/Dovecot $rcmail_config['default_port'] = 143; $rcmail_config['imap_auth_type'] = "PLAIN"; // -- // SMTP // -- $rcmail_config['smtp_server'] = '192.168.0.247'; $rcmail_config['smtp_port'] = 25; $rcmail_config['smtp_user'] = '%u'; $rcmail_config['smtp_pass'] = '%p'; $rcmail_config['smtp_helo_host'] = '192.168.0.247'; En el /etc/roundcube/debian-db.php tengo: http://www.bootsector.com.ar | http://www.lugro.org.ar === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cae1oxfbgt9cewpeqg+yijcsihg0p7dyw+9suu-vjesaiqtn...@mail.gmail.com
Re: [OT] Wheezy+Postfix+Dovecot+LDAP-Problema mapeo dir en IMAP/POP3
El 04/09/14 12:09, Camaleón escribió: > > Bien, pero ya no debería aparecer el error de "Home dir not found". Si es > así, lo que quedaría por resolver es por qué no respeta la ruta que has > configurado como almacén de los mensajes y quizá es que lo devuelve > vacío, es decir, que la variable "%d" no contiene el valor del dominio. Sí sí. Esto es así! El error "Home dir not found" no aparece mas en los logs. Con respecto a la ruta creo que me esta pisando mi config de Dovecot mis datos en LDAP. > Se me ocurren dos cosas que podrían estar "molestando" a Dovecot: > > 1/ Revisa la configuración que tienes en Postfix para ver si es correcta: > > http://wiki2.dovecot.org/LDA/Postfix Por este lado está OK... > 2/ En OpenLDAP, que no haya valores de variables contradictorias con los > datos de Dovecot Justamente esto es lo que me temo... que la info en el árbol LDAP (el home del user en este caso) me esta "pisando" mi config 'mail_home = /var/vmail/%d/%n' que tengo seteada en Dovecot. Acá en este parcial del log muestra: 1- consulta al ldap (us/home/uid/gid) 2- respuesta (donde se ve homeDirectory=/hom e/usersldap/sspeirone) 3- toma maildir++: root=/home/usersldap/sspeirone/mail 4- saved mail to INBOX 2014-09-04 18:52:23 auth: Debug: ldap(sspeir...@epea1.com.ar): user search: base=dc=epea1,dc=com,dc=ar scope=subtree filt er=(&(objectClass=posixAccount)(uid=sspeirone)) fields=homeDirectory,uidNumber,gidNumber 2014-09-04 18:52:23 auth: Debug: ldap(sspeir...@epea1.com.ar): result: uidNumber=10003 gidNumber=10002 homeDirectory=/hom e/usersldap/sspeirone 2014-09-04 18:52:23 lda(sspeir...@epea1.com.ar): Debug: maildir++: root=/home/usersldap/sspeirone/mail, index=, control=, inbox=/home/usersldap/sspeirone/mail, alt= 2014-09-04 18:52:23 lda(sspeir...@epea1.com.ar): Info: msgid=unspecified: saved mail to INBOX : Subject: prueba Por más que yo NO haya especificado que tome el directorio de destino del correo desde LDAP usa el home especificado ahí en vez del seteado en Dovecot. Investigare por este lado :p >> Cabe recalcar que utilizando esta config, con /home/userldap en vez de >> /home/vmail Dovecot funciona bien, osea, me entrega los correos y luego >> puedo levantarlos tanto por IMAP como por POP3, pero me ignora mi config >> de mail_home = /home/usersldap/%d/%n :( >> La verdad que es muy extraño... me canse de buscar y probar cosas :p >> Tendré que seguir investigando. >> Gracias por tu ayuda Camaleón. >> Comentare los resultados más adelante. > > Sí, está raro... en cualquier caso, con cada cambio que hagas sigue > revisando los registros de Dovecot que suelen ser muy útiles. tail -f /var/log/dovecot* -n0 a full :) y lo mismo con los logs de Postfix, en una terminal en todo momento... > Saludos, Saludos y gracias por todo. -- Saludos. Diego. === "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar Referente Técnico Escolar-EPEA N°1-Las Ovejas-Neuquén === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5408e3d2.9010...@cancelo.com.ar
Re: [OT] Wheezy+Postfix+Dovecot+LDAP-Problema mapeo dir en IMAP/POP3
Buenas. Perdón la demora. Estaba sin inet en el trabajo. Va entre lineas... El 29/08/14 13:14, Camaleón escribió: > > (...) > > No uso Dovecot pero diría que estos dos son los errores principales. > Parece que hay discrepancia en los directorios > > /home/usersldap/sspeirone > /home/vmail/epea1.com.ar/sspeirone Si. mi búsqueda iba por ese lado... La ubicación del log "/home/usersldap/sspeirone" se corresponde con el Home del usuario Posix, que esta cargado en LDAP, cuando Dovecot busca dicho usuario; pero yo quería almacenar los correos unificándolos por dominio y NO utilizando el Home configurado en LDAP, como por ej "/home/vmail/epea1.com.ar/sspeirone". >> Como se ve en estas ultimas lineas (subrayado con ) busca el correo >> en /home/vmail//USUARIO cuando tendría que ser en >> /home/vmail/DOMINIO/USUARIO He buscado mucho y no logro dar con el >> parámetro de config para solucionar esto. >> Dovecot como LDA funciona bien por lo que estuve mirando las config de >> IMAP/POP pero no logra dar en la tecla. > > Concuerdo. En la documentación de Dovecot¹ para buzones virtuales indican > dos variables: > > mail_home = /var/vmail/%d/%n > mail_location = maildir:~/mail > > Y en tu archivo de configuración aparece: > > *** > /etc/dovecot/conf.d/10-mail.conf > mail_location = maildir:/home/vmail/%d/%n > *** He estado leyendo bastante en la wiki de Dovecot y probando varias configs. Esto que comentas también lo había visto. > Que entiendo se corresponde con "/home/vmail/epea1.com.ar/sspeirone" pero > me parece que te falta definir "mail_home", y que en tu caso entiendo que > buscas una configuración como la 4. del ejemplo de la wiki de Dovecot, es > decir, la que he puesto más arriba. > > ¹http://wiki2.dovecot.org/VirtualUsers/Home Si. Una de las últimas config que probé es como el ej que comentas. Es raro el comportamiento. En este momento coloque estos parámetros: En /etc/postfix/main.cf: virtual_mailbox_base = /home/usersldap/ #cambie /home/vmail por /home/usersldap virtual_alias_maps = proxy:ldap:/etc/postfix/ldap/ldap-virtual_forwardings.cf virtual_mailbox_domains = proxy:ldap:/etc/postfix/ldap/ldap-virtual_domains.cf virtual_mailbox_maps = proxy:ldap:/etc/postfix/ldap/ldap-virtual_mailboxes.cf Y en /etc/dovecot/conf.d/10-mail.conf: mail_home = /home/usersldap/%d/%n mail_location = maildir:~/mail Sin embargo me almacena el correo en /home/usersldap/sspeirone omitiendo el dominio. Cabe recalcar que utilizando esta config, con /home/userldap en vez de /home/vmail Dovecot funciona bien, osea, me entrega los correos y luego puedo levantarlos tanto por IMAP como por POP3, pero me ignora mi config de mail_home = /home/usersldap/%d/%n :( La verdad que es muy extraño... me canse de buscar y probar cosas :p Tendré que seguir investigando. Gracias por tu ayuda Camaleón. Comentare los resultados más adelante. -- Saludos. Diego. === "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar Referente Técnico Escolar-EPEA N°1-Las Ovejas-Neuquén === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54078182.5000...@cancelo.com.ar
[OT] Wheezy+Postfix+Dovecot+LDAP-Problema mapeo dir en IMAP/POP3
main cf home_mailbox = Maildir/ # Uso de Dovecot como LDA (Local Delivery Agent). virtual_transport = dovecot dovecot_destination_recipient_limit = 1 mailbox_command = /usr/local/lib/dovecot/deliver #LDAP config virtual_mailbox_base = /home/vmail/ virtual_uid_maps = static:5000 #vmail virtual_gid_maps = static:5000 #vmail virtual_alias_maps = proxy:ldap:/etc/postfix/ldap/ldap-virtual_forwardings.cf virtual_mailbox_domains = proxy:ldap:/etc/postfix/ldap/ldap-virtual_domains.cf virtual_mailbox_maps = proxy:ldap:/etc/postfix/ldap/ldap-virtual_mailboxes.cf master.cf # Dovecot LDA (para que sea dovecot quien haga el delivery de los correos) dovecot unix - n n - - pipe flags=DRhu user=nobody:mail argv=/usr/local/lib/dovecot/deliver -d ${recipient} DOVECOT: /etc/dovecot/dovecot-ldap.conf.ext hosts = 192.168.0.244 dn = cn=admin,dc=epea1,dc=com,dc=ar dnpass = ldap_version = 3 base = dc=epea1,dc=com,dc=ar user_filter = (&(objectClass=posixAccount)(uid=%n)) pass_filter = (&(objectClass=posixAccount)(mail=%u)) /etc/dovecot/conf.d/10-auth.conf disable_plaintext_auth = no auth_mechanisms = plain login !include auth-ldap.conf.ext /etc/dovecot/conf.d/10-mail.conf mail_location = maildir:/home/vmail/%d/%n mail_privileged_group = vmai /etc/dovecot/conf.d/10-master.conf service imap-login { inet_listener imap { port = 143 #port = 0 } inet_listener imaps { port = 993 ssl = yes } } service pop3-login { inet_listener pop3 { port = 110 #port = 0 } inet_listener pop3s { port = 995 ssl = yes } } service auth { unix_listener auth-userdb { mode = 0666 user = vmail group = vmail } } /etc/dovecot/conf.d/15-lda.conf postmaster_address = di...@epea1.com.ar lda_mailbox_autocreate = yes lda_mailbox_autosubscribe = yes protocol lda { log_path = /var/log/dovecot-deliver.log } /etc/dovecot/conf.d/auth-ldap.conf.ext passdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext } userdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext } Bueno... si alguien me puede tirar una onda por donde buscar/seguir se lo agradecere mucho. Muchas gracias por leerme. -- Saludos. Diego. === "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar Referente Técnico Escolar-EPEA N°1-Las Ovejas-Neuquén === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54009cb8.8060...@cancelo.com.ar
OpenVZ-simfs vs ploop
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 Buenas listeros... Ya hace un tiempo (creo desde Abril) que OpenVZ, con la implementación de la version 4.7 de vzctl ha cambiado la forma en el almacenamiento de los containers. Mediante Ploop han migrado a la utilizacion de un sistema de container-in-a-file en vez de tener todos los "pequeños" archivos del container "chrooteados" dentro de una determinada carpeta. Estos son ejemplos de montaje de uno u otro sistema: Con SimFS: /var/lib/vz/private/102 on /var/lib/vz/root/102 type simfs (rw,relatime) Con Ploop: /dev/ploop53838p1 on /var/lib/vz/root/101 type ext4 (rw,relatime,barrier=1,data=ordered,balloon_ino=12) Obviamente que lo único que indican en la web de OVZ son beneficios, como por ej: * El Jounarling deja de ser un cuello de botella, ya que se puede implementar Journaling por cada contenedor. * En cuanto a la I/O tiene un mayor rendimiento al utilizar como almacenamiento un solo archivo de imagen grande en vez de muchos archivos pequeños. * El nro de inodos deja de ser un problemas en cuanto a su limitación dentro de cada contenedor. * Mayor eficiencia en los backup y migración por lo antes mencionado. * Los containers pueden utilizar sistemas de archivo y propiedades diferentes a las utilizadas por el sistema anfitrión. Independencia en el File System. Aquí un par de webs con info [1] Todos mis contenedores que están en producción utilizan simfs, pero debo crear otros nuevos y por eso consulto a gente con mas experiencia... ¿Están usando Ploop con OpenVZ en producción? ¿Resultados? Las ventajas son obvias, pero en mi zona tenemos grandes problemas con la energía eléctrica y las UPS con las que cuento no son las mejores :( Tengo miedo a alguna inconsistencia en el archivo de imagen por un mal cierre del contenedor. Si bien con ploop tenemos herramientas para chequeo [2] y montaje del archivo de imagen siempre es muy comodo tener todos los archivo a mano dentro de un dir como lo hace simfs :) Muchas gracias! [1] http://openvz.livejournal.com/40830.html http://blog.byteonsite.com/?p=10 [2] https://openvz.org/Man/ploop.8 - -- Saludos. Diego. =========== "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar Referente Técnico Escolar-EPEA N°1-Las Ovejas-Neuquén === Usá Software Libre. -BEGIN PGP SIGNATURE- Version: GnuPG v1 Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iF4EAREIAAYFAlOyx/YACgkQUKt5148aDffxxQD/eExnuo1kFFnqKjZRrBH8ZTvo lVFyhA8LuzZfdQnFHZABAIW0v+lZeNZAPGy26tbODXD2nnmi4WBgb/8ofmlvk9ML =Wzzg -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53b2c7fe.9050...@cancelo.com.ar
Re: respuesta ante un ddos
El día 16 de diciembre de 2013, 19:54, troxlinux escribió: > hola foro , tengo un firewall instalado a mano con iptables y desde hace > unos días de repente veo que con un tío se me conecta y me hace muchas > conexiones al webserver de mi servidor y me lo bota a veces pasa hasta 1 > hora , hace poco se me peqo al 25 de mi servidor y me hizo lo mismo. > > abra alguna forma de tener a estos tipos asi sin cerrar el puerto? , este > servidor lo tengo en linode Buenas. ¿No consideraste usar Fail2Ban? Saludos. Diego. =========== "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cae1oxfatf1ct+clpqv4cbys-eyxyy6txn25mn6hc4tsvtbb...@mail.gmail.com
Re: Bloqueo de conexiones hamachi
El día 26 de julio de 2013 17:27, leos.lis...@gmail.com escribió: > Lista, buenas tardes. > > He agregado las siguientes líneas al script de mi firewall: > > iptables -A OUTPUT -p tcp -d 69.25.21.195 -o $EXT_IF -j DROP > iptables -A OUTPUT -p tcp -d 64.94.47.195 -o $EXT_IF -j DROP > > iptables -A FORWARD -p tcp -d 69.25.21.195 -o $EXT_IF -j DROP > iptables -A FORWARD -p tcp -d 64.94.47.195 -o $EXT_IF -j DROP > > Pero el cliente de hamachi se sigue pudiendo conectar! > Alguna otra idea/prueba? No conozco, ni se bien como trabaja Hamachi, pero cuando lo busque en algunos sitios indicaban que trabaja utilizando UDP. Proba filtrar udp con -p -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAE1OxfYPgFoWCe91DBMGdXfozvknsVgn5Ad=3vlsur60sn4...@mail.gmail.com
Re: Bloqueo de conexiones hamachi
El día 26 de julio de 2013 11:12, leos.lis...@gmail.com escribió: > On 25/07/13 11:53, Diego H. Cancelo wrote: > > El jul 25, 2013 11:33 a.m., "leos.lis...@gmail.com" > escribió: >> >> Hola Lista. >> >> Les consulto, alguien logró con IPTABLES bloquear las conexiones desde mi >> red interna a los servers de Hamachi? >> >> Estoy viendo que cuando se conecta el cliente de hamachi realiza >> conexiones a: >> >> hamachi.cc >> >> las ips que utiliza son >> >> 69.25.21.195 >> 64.94.47.195 >> >> Pero por mas que utilizo (por ejemplo) >> >> iptables -A OUTPUT -p tcp -d 64.94.47.195 -j DROP >> >> Las conexiones siguen pudiendo establecerse. >> > Buenas. Por lo que entiendo si estás dropeando con cadena OUTPUT con > iptables desde donde estás nateando, estás filtrando solo la salida del > mismo Server con iptables hacia esas ips. > Si lo que queres es filtrar la salida de terminales de tu red interna a > determinadas ips (inet) tenes que dropear con la cadena FORWARD. > Saludos. > > Diego, gracias por tu respuesta! > > Te paso lo que puse en mi script de IPTABLEs: > > iptables -A OUTPUT -p tcp -d www.hamachi.cc -j DROP > iptables -A OUTPUT -p tcp -d 69.25.21.195 -j DROP > > iptables -A OUTPUT -p tcp -d 64.94.47.195 -j DROP aca estas filtrando la salida del mismo firewall, no la red interna > > iptables -A FORWARD -p tcp -d www.hamachi.cc -j DROP > iptables -A FORWARD -p tcp -d 69.25.21.195 -j DROP > iptables -A FORWARD -p tcp -d 64.94.47.195 -j DROP aca si estas filtrando la red interna > > Lo voy a probar esta tarde cuando pueda reiniciar el server. > > Te consulto, cual es la diferencia entre el DROPEO en el OUTPUT y/o en el > FORWARD? Al utilizar la tabla FILTER (Filtrado de paquetes), utilizada por defecto si no especificas otra tabla en las reglas de iptables, podes utilizar las cadenas: INPUT para el filtrado de paquetes que llegan al firewall, OUTPUT para el filtrado de los paquetes que salen desde el firewall (con origen en el firewall), y FORWARD, filtrado de paquetes que pasan por el FW pero desde y hacia una dirección distinta de la del firewall. Cuando en el FW haces DNAT o SNAT y queres filtrar paquetes desde: red_interna <> firewall <> inet (en ambos sentidos) debes filtrar con la cadena FORWARD No se si fui claro. Este es lo que tengo entendido, si me equivoco por por favor alguien me corrija. Saludos. Diego. === "Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar *GNU/Linux User # 491743* | Huella digital: 03CA 8BAC 823A 80A1 D2FD E74F 50AB 79D7 8F1A 0DF7 GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail http://www.bootsector.com.ar | http://www.lugro.org.ar === Usá Software Libre. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAE1OxfapdtAuUGcuaZyM2badgp0YVWORtw=U0=gxkulfolg...@mail.gmail.com
Re: Bloqueo de conexiones hamachi
El día 25 de julio de 2013 10:48, leos.lis...@gmail.com escribió: > Hola Lista. > > Les consulto, alguien logró con IPTABLES bloquear las conexiones desde mi > red interna a los servers de Hamachi? > > Estoy viendo que cuando se conecta el cliente de hamachi realiza conexiones > a: > > hamachi.cc > > las ips que utiliza son > > 69.25.21.195 > 64.94.47.195 > > Pero por mas que utilizo (por ejemplo) > > iptables -A OUTPUT -p tcp -d 64.94.47.195 -j DROP > > Las conexiones siguen pudiendo establecerse. > > Alguien pudo solucionar este tema? > > Muchas Gracias. > > Saludos. No conocia Hamachi :p y estuve leyendo el hilo (y link que esta entro) que posteo Camaleon. Transcribo parte del link: "Blocking Hamachi. As we’ve seen, Hamachi is very robust. Blocking it is not easy. Let’s start with the initial server connection. You can block the standard TCP ports, but the client will try to connect over SSL. Blocking TCP ports 443, 12975, and 32976 for *.hamachi.cc should effectively shut down connection to mediation servers. You can also try blocking the servers by IP address. However, you have to ensure server information doesn’t change. For example, according to an Experts Exchange post the Hamachi server address was 69.25.21.221 on December 7, 2007. When I ran nslookup for the same Hamachi server name (bibi.hamachi.cc) for this article, the IP address was different." En otros lugares leí que utiliza UDP :p [wex@arch ~]$ nslookup hamachi.cc Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: Name: hamachi.cc Address: 64.94.47.195 Name: hamachi.cc Address: 69.25.21.195 Dropeando con FORWARD -d ips_hamachi deberías poder filtrarlo... Será cuestión de que pruebes... Contá después como te va :) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAE1OxfYXNKcgM173JYyiU6HAHWXCdC97nqWtouZQmAz‰e...@mail.gmail.com