Re: [freebsd] Write failed
Hello! On Fri, 03 Apr 2015 at 12:35:35 (+0300), Taras Heychenko wrote: Apr 2 15:08:48 academ bruteblock[50817]: Blocking failed for 218.65.30.92 Apr 2 15:08:48 academ sshd[50821]: fatal: Write failed: Permission denied [preauth] Интересует собственно вот эти Write failed и Blocking failed - откуда и почему? Адрес 218.65.30.92 в table 1 в ipfw присутствует. Write failed вероятно из-за того, что таймаутится либо само соединение, либо какое-то динамическое правило в файрволе. А Blocking failed вероятно из-за того, что 218.65.30.92 уже присутствует в таблице. -- George L. Yermulnik [YZ-RIPE]
Re: [freebsd] Write failed
Hi! On Fri, Apr 03, 2015 at 13:22 +0300, George L. Yermulnik wrote: On Fri, 03 Apr 2015 at 12:35:35 (+0300), Taras Heychenko wrote: Apr 2 15:08:48 academ bruteblock[50817]: Blocking failed for 218.65.30.92 Apr 2 15:08:48 academ sshd[50821]: fatal: Write failed: Permission denied [preauth] Интересует собственно вот эти Write failed и Blocking failed - откуда и почему? Адрес 218.65.30.92 в table 1 в ipfw присутствует. Write failed вероятно из-за того, что таймаутится либо само соединение, Permission denied - это попадание в ipfw-шное правило deny либо какое-то динамическое правило в файрволе. А Blocking failed вероятно из-за того, что 218.65.30.92 уже присутствует в таблице.
Re: [freebsd] Write failed
On 04/03/15 12:35, Taras Heychenko wrote: Apr 2 15:08:48 academ sshd[50821]: fatal: Write failed: Permission denied [preauth] Ошибка Permission denied на системный вызов write(2) выдаётся, когда пакеты заблокированны локальным файрволом.
[freebsd] Write failed
Hi! На машине в security output стали появляться записи вида: Apr 2 15:08:42 academ sshd[50815]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! [preauth] Apr 2 15:08:42 academ sshd[50815]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! Apr 2 15:08:43 academ sshd[50815]: error: PAM: authentication error for root from 218.65.30.92 Apr 2 15:08:48 academ sshd[50821]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! [preauth] Apr 2 15:08:48 academ sshd[50821]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! Apr 2 15:08:48 academ bruteblock[50817]: Blocking failed for 218.65.30.92 Apr 2 15:08:48 academ sshd[50821]: fatal: Write failed: Permission denied [preauth] Интересует собственно вот эти Write failed и Blocking failed — откуда и почему? Адрес 218.65.30.92 в table 1 в ipfw присутствует. Система FreeBSD 9.3-STABLE #6 r280261: Fri Mar 20 12:34:59 EET 2015 На машине стоит ipfw с nat’ом и bruteblock. В отличие от того, что написано в мане по bruteblock добавление таблицы в конфиге выглядит не так, как написано в man’е ipfw add 100 deny ip from me to table\(1\) ipfw add 100 deny ip from table\(1\) to me а ipfw add 100 deny ip from me to table(1) ipfw add 100 deny ip from table(1) to me Потому как с backslash’ами ipfw ругается, и table 1 в правилах просто не появляется. -- tasic
Re: [freebsd] Write failed
On Apr 3, 2015, at 12:35, Taras Heychenko ta...@academ.kiev.ua wrote: Hi! На машине в security output стали появляться записи вида: Apr 2 15:08:42 academ sshd[50815]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! [preauth] Apr 2 15:08:42 academ sshd[50815]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! Apr 2 15:08:43 academ sshd[50815]: error: PAM: authentication error for root from 218.65.30.92 Apr 2 15:08:48 academ sshd[50821]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! [preauth] Apr 2 15:08:48 academ sshd[50821]: reverse mapping checking getaddrinfo for 92.30.65.218.broad.xy.jx.dynamic.163data.com.cn [218.65.30.92] failed - POSSIBLE BREAK-IN ATTEMPT! Apr 2 15:08:48 academ bruteblock[50817]: Blocking failed for 218.65.30.92 Apr 2 15:08:48 academ sshd[50821]: fatal: Write failed: Permission denied [preauth] Т.е. из того, что ответили и вышенаписанного я понимаю следующую логику работы. Ломятся с 218.65.30.92, которое и так уже находится в таблице на deny (потому как записать туда мы это не можем), но в логи оно попадает, не смотря на то, что оно deny и поэтому мы опять пытаемся его записать посредством bruteblock в таблицу. Так получается? -- tasic -- tasic
Re: [freebsd] Write failed
Hello Taras, Friday, April 3, 2015, 3:15:28 PM, you wrote: TH Т.е. из того, что ответили и вышенаписанного я понимаю следующую логику работы. TH Ломятся с 218.65.30.92, которое и так уже находится в таблице на deny TH (потому как записать туда мы это не можем), но в логи оно попадает, TH не смотря на то, что оно deny и поэтому мы опять пытаемся его записать посредством bruteblock в таблицу. Записи sshd подадают в лог или обрабатываются bruteblock медленнее, чем вносится запись в ipfw. Т.е. запрещающая запись уже внесена, но bruteblock всё ещё получает или обрабатывает логи, которые вынуждают его ещё раз внести запрещающее правило. Ничего страшного. -- WBR, Alexander Sheiko
