Блокиране на адрес

31 Октомври, 2017

Здравейте,

Имам следния казус:
В вътрешната ми мрежа имам приемник за сателитна телевизия (set-top-box) който е Линукс.
На рутъра съм port-forward-нал един порт към приемника.
Забелязах че към приемника се закача един натрапник.
Исках да му блокирам IP адреса му и го добавих в адрес листата - blacklist.
И добавих следните правила в ip firewall filter.

 1    chain=input action=accept connection-state=established 
 2    chain=input action=accept connection-state=related 
 3    chain=input action=accept in-interface=ether1 log=no log-prefix="" ipsec-policy=in,ipsec 
 4    chain=input action=accept protocol=udp in-interface=ether1 dst-port=500,4500 log=no log-prefix="" 
 5    chain=input action=accept protocol=ipsec-esp in-interface=ether1 log=no log-prefix="" 
 6    chain=input action=drop src-address-list=shodan in-interface=ether1 log=no log-prefix="" 
 7    chain=input action=drop src-address-list=facebook in-interface=ether1 log=no log-prefix="" 
 8    chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix="" 
 9    chain=input action=drop in-interface=ether1

Днес гледам пак се е появил.
Ако са ми правилни правилата някак си е заобиколил firewall-а.

Във лога виждам следното:

07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:27 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:29 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52

В приемника виждам че е вътре с netstat:

tcp        0      0 192.168.0.30:44159      192.168.0.31:44708    ESTABLISHED
tcp        0    144 192.168.0.30:22         192.168.0.10:51631      ESTABLISHED
tcp        0      0 192.168.0.30:37678      192.168.0.61:445        ESTABLISHED
tcp        0      0 ::ffff:192.168.0.30:8001 ::ffff:109.121.xxx.xxx:56604 ESTABLISHED

Другите адреси нямат ::ffff: каквото и да е това. Може би така заобикаля firewall-а или грешно го блокирам.

Грешно ли блокирам адресът му? В input или във forward chain трябва да е филтъра?

Редактирано 31 Октомври, 2017 от imperia

31 Октомври, 2017

Преди 3 часа, imperia написа:

Във лога виждам следното:


07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:27 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:29 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52

Ми правилно виждаш дропнатие от стената пакети, просто си сложи лог префикс на дроп правилата за да знаеш точно от кое правило са генерирани !

Редактирано 31 Октомври, 2017 от JohnTRIVOLTA

1 Ноември, 2017

Аз май само лог съм сложил на
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix=""
но все пак ще добавя един префикс.

Виждам ги че са дропнати но натрапника се е закачил и гледа.
Да не са ми объркани правилата?
input или forward трябва да е chain-а?

Редактирано 1 Ноември, 2017 от imperia

1 Ноември, 2017

преди 37 минути, imperia написа:

Аз май само лог съм сложил на
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix=""
но все пак ще добавя един префикс.

Виждам ги че са дропнати но натрапника се е закачил и гледа.
Да не са ми объркани правилата?
input или forward трябва да е chain-а?

Как разбра , че се е закачил и гледа ? Разбира се че се гледа входната верига, нали си пренасочил порт !

Редактирано 1 Ноември, 2017 от JohnTRIVOLTA

3 Ноември, 2017

Виждам го с netstat в самия приемник. Виждам го и на екрана на телевизора. Не мога да сменям канали защото той ползва тунера.

8 Ноември, 2017

Нещо такова се получава сигурно. Блокирам го в input chainа, но после port forwarding правилото го пуска.

8 Ноември, 2017

Протокол + Порт + Интерфейс,

придружени с действие DROP

Понеже ти е в листа то тогава

Интерфейс + адресна листа и действие drop
директно в RAW раздела

Вход

Блокиране на адрес

Въпрос

imperia

Адрес на коментара

Сподели в други сайтове

6 отговори на този въпрос

Recommended Posts

JohnTRIVOLTA

Адрес на коментара

Сподели в други сайтове

imperia

Адрес на коментара

Сподели в други сайтове

JohnTRIVOLTA

Адрес на коментара

Сподели в други сайтове

imperia

Адрес на коментара

Сподели в други сайтове

imperia

Адрес на коментара

Сподели в други сайтове

111111

Адрес на коментара

Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

Създайте акаунт

Вход

Потребители разглеждащи страницата 0 потребители

Форум

Активност

Important Information