Re: Filtrado pero entra igual, ¿cómo es posible?
On 04/07/14 12:30, Horacio wrote: sudo cat /var/log/auth.log|grep ssh2|tail -80 Al margen de la consulta, puedes ahorrarte comandos innecesarios: sudo grep ssh2 /var/log/auth.log | tail -80 Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53b97290.5020...@enchufado.com
RE: Filtrado pero entra igual, ¿cómo es posible?
> From: guidoigna...@gmail.com > Date: Fri, 4 Jul 2014 13:05:38 -0300 > Subject: Re: Filtrado pero entra igual, ¿cómo es posible? > To: debian-user-spanish@lists.debian.org > > -- > Guido Ignacio > > > El día 4 de julio de 2014, 13:01, Guido Ignacio > escribió: >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA256 >> >> El día 4 de julio de 2014, 12:47, Horacio escribió: >>> me gustaría saber como hacer para >>> bloquear direcciones IP sin tener que cerrar el puerto,,, >> >> iptables -A INPUT -p tcp -s -j DROP > > corrijo: > > iptables -A INPUT -p tcp -s -j DROP > Prueba esta: iptables -I INPUT -s -j DROP salu2 WRC -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/bay177-w43b6d925c7aa1d2d5e0a9cb6...@phx.gbl
Re: Filtrado pero entra igual, ¿cómo es posible?
-- Guido Ignacio El día 4 de julio de 2014, 13:01, Guido Ignacio escribió: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA256 > > El día 4 de julio de 2014, 12:47, Horacio escribió: >> me gustaría saber como hacer para >> bloquear direcciones IP sin tener que cerrar el puerto,,, > > iptables -A INPUT -p tcp -s -j DROP corrijo: iptables -A INPUT -p tcp -s -j DROP > > > -BEGIN PGP SIGNATURE- > Version: OpenPGP.js v0.5.1 > Comment: http://openpgpjs.org > > wsBcBAEBCAAQBQJTts/aCRDP17wMFuiP8AAAomkH/0fUmV47OMula/wSHy0a > ydZZKwFFhmopGuot/1NlMGP2irKevvlPqlMJKdg9fySy7OrQm70swfyInJ4j > IICEcEAbBMzl39ibF1Y9qU1z1oLEX+2aiiUdfdnztxgFEl4FpBIpKrlzcDkT > auXJjTQli6ja+EfLiFCp67Y0gP2XK5Bcwcf13h7MsbvKBvV866+a6f1L8y2s > aZ3efa9FL2RWr9PZPsH3eYNG8CGUrDS/MODFaeDxseVmd4wfHs0bySfBPgZT > XoS/dDfPXbqQjpKEZC45Ui8BrwpTk2o8frp0IkmiX0LG/8tNL8vynZz1Fb1N > tlrnpIsEAOv/byyRhf4Kat8= > =EgAA > -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CA+wiXxiQuQ5WXz=xb=x3-7rysxoz0hy5twwblpiusvj2+ml...@mail.gmail.com
Re: Filtrado pero entra igual, ¿cómo es posible?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 El día 4 de julio de 2014, 12:47, Horacio escribió: > me gustaría saber como hacer para > bloquear direcciones IP sin tener que cerrar el puerto,,, iptables -A INPUT -p tcp -s -j DROP -BEGIN PGP SIGNATURE- Version: OpenPGP.js v0.5.1 Comment: http://openpgpjs.org wsBcBAEBCAAQBQJTts/aCRDP17wMFuiP8AAAomkH/0fUmV47OMula/wSHy0a ydZZKwFFhmopGuot/1NlMGP2irKevvlPqlMJKdg9fySy7OrQm70swfyInJ4j IICEcEAbBMzl39ibF1Y9qU1z1oLEX+2aiiUdfdnztxgFEl4FpBIpKrlzcDkT auXJjTQli6ja+EfLiFCp67Y0gP2XK5Bcwcf13h7MsbvKBvV866+a6f1L8y2s aZ3efa9FL2RWr9PZPsH3eYNG8CGUrDS/MODFaeDxseVmd4wfHs0bySfBPgZT XoS/dDfPXbqQjpKEZC45Ui8BrwpTk2o8frp0IkmiX0LG/8tNL8vynZz1Fb1N tlrnpIsEAOv/byyRhf4Kat8= =EgAA -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CA+wiXxinDfTuBNKY=bgc+2qd0nb286rcvwemzj7vaer6m1b...@mail.gmail.com
Re: Filtrado pero entra igual, ¿cómo es posible?
> Puede ser que haya una regla anterior que se aplique a esos paquetes y > permita el paso. Por ejemplo, puede que anteriormente hayas permitido > todo el tráfico ssh. > > Algo así como > > -A INPUT -p tcp --dport 53743 -j ACCEPT > -A INPUT -s 116.10.191.197 -j DROP > > permitiría el tráfico tcp entrante desde la IP 116.10.191.197 con > destino al puerto 53743 pero le bloquearía el de puertos. Ese era el problema que antes tenía una regla -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT y no recordaba el tema de la precedencia,,, jejeje Lo solucioné con una VPN y borrando dicha regla, con lo cual ahora nadie entra por el puerto 22, pero me gustaría saber como hacer para bloquear direcciones IP sin tener que cerrar el puerto,,, Es decir una vez que defina esta regla -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT bloquear las ip con reglas posteriores,, sin tener que reiniciar la configuración por iptablerestore para mantener el orden de precedencia... Me conecto a la VPS por ip dinámica, si fuese estática sería mas simple :) > > > Saludos. > -- > Manolo Díaz > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: https://lists.debian.org/20140704125539.3aab8...@gmail.com > -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/calv7ndgqretds_dnwumcaza0pe+n+ak+p8jpsdhzwzhhf+a...@mail.gmail.com
Re: Filtrado pero entra igual, ¿cómo es posible?
El Fri, 04 Jul 2014 07:30:04 -0300, Horacio escribió: > Buenas,,, esta es una pregunta para algún experto en seguridad ,,, > > En las reglas de iptables tengo filtrada una dirección IP como se ve a > continuación,,, > > DROP all -- 61.174.51.2210.0.0.0/0 > DROP all -- 116.10.191.164 0.0.0.0/0 > DROP all -- 116.10.191.197 0.0.0.0/0 <- > DROP all -- 116.10.191.162 0.0.0.0/0 > DROP all -- 202.109.143.18 0.0.0.0/0 > > he usado la instrucción > > 492 sudo /sbin/iptables -A INPUT -s 116.10.191.197 -j DROP Preguntonta... ¿no habrá alguna regla anterior que esté permitiendo el tráfico? Recuerda que el orden de las reglas es importante. > para bloquarla, pero cuando analizo los logs,,, con,,, > > sudo cat /var/log/auth.log|grep ssh2|tail -80 > > ops sorpresa aparece esto,,, > > Jul 4 01:59:24 nubehoracio sshd[22939]: Failed password for root from > 116.10.191.197 port 53743 ssh2 > Jul 4 01:59:26 nubehoracio sshd[22939]: Failed password for root from > 116.10.191.197 port 53743 ssh2 > Jul 4 01:59:28 nubehoracio sshd[22939]: Failed password for root from > 116.10.191.197 port 53743 ssh2 > > El tipo sigue haciendo ataques,,, (...) Ya sé que no responde a tu pregunta pero ¿has pensando en fail2ban o similares? Quizá sea más efectivo para este tipo de envites. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.07.04.14.14...@gmail.com
Re: Filtrado pero entra igual, ¿cómo es posible?
No soy ni menos experto en Iptables pero recuerda que las condicioens se establcen en orden de lectura del fichero asi que por seguridad los drop de las ip deberian ir al principio de todo, antes de que empieces a abrir puertos 2014-07-04 12:56 GMT+02:00 Manolo Díaz : > El viernes, 4 jul 2014 a las 12:55 horas (UTC+2), > Manolo Díaz escribió: > > >pero le bloquearía el de puertos. > > pero le bloquearía el resto de puertos. > -- > Manolo Díaz > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: https://lists.debian.org/20140704125648.5bc92...@gmail.com > > -- carlos.nico...@gmail.com
Re: Filtrado pero entra igual, ¿cómo es posible?
El viernes, 4 jul 2014 a las 12:55 horas (UTC+2), Manolo Díaz escribió: >pero le bloquearía el de puertos. pero le bloquearía el resto de puertos. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140704125648.5bc92...@gmail.com
Re: Filtrado pero entra igual, ¿cómo es posible?
El viernes, 4 jul 2014 a las 12:30 horas (UTC+2), Horacio escribió: >Buenas,,, esta es una pregunta para algún experto en seguridad ,,, > >En las reglas de iptables tengo filtrada una dirección IP como se ve a >continuación,,, > >DROP all -- 61.174.51.2210.0.0.0/0 >DROP all -- 116.10.191.164 0.0.0.0/0 >DROP all -- 116.10.191.197 0.0.0.0/0 <- >DROP all -- 116.10.191.162 0.0.0.0/0 >DROP all -- 202.109.143.18 0.0.0.0/0 > >he usado la instrucción > >492 sudo /sbin/iptables -A INPUT -s 116.10.191.197 -j DROP > >para bloquarla, pero cuando analizo los logs,,, con,,, > >sudo cat /var/log/auth.log|grep ssh2|tail -80 > >ops sorpresa aparece esto,,, > >Jul 4 01:59:24 nubehoracio sshd[22939]: Failed password for root from >116.10.191.197 port 53743 ssh2 >Jul 4 01:59:26 nubehoracio sshd[22939]: Failed password for root from >116.10.191.197 port 53743 ssh2 >Jul 4 01:59:28 nubehoracio sshd[22939]: Failed password for root from >116.10.191.197 port 53743 ssh2 > >El tipo sigue haciendo ataques,,, > >La máquina en cuestión es un VPS y desde un tiempo a esta parte estoy >sufriendo ataques de fuerza bruta por parte de IP asígnadas a la red >TOR,, he podido filtrar a todas menos a esa, que me sigue jodiendo,, > >Alguien me puede decir como ha vulnerado la seguridad? > >Saludos,,, > > Puede ser que haya una regla anterior que se aplique a esos paquetes y permita el paso. Por ejemplo, puede que anteriormente hayas permitido todo el tráfico ssh. Algo así como -A INPUT -p tcp --dport 53743 -j ACCEPT -A INPUT -s 116.10.191.197 -j DROP permitiría el tráfico tcp entrante desde la IP 116.10.191.197 con destino al puerto 53743 pero le bloquearía el de puertos. Saludos. -- Manolo Díaz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140704125539.3aab8...@gmail.com
