Jump to content
  • 0

Блокиране на адрес

imperia

Asked by imperia,

 Share

Question

imperia Newbie

imperia

Posted
Posted (edited)

Здравейте,

Имам следния казус:
В вътрешната ми мрежа имам приемник за сателитна телевизия (set-top-box) който е Линукс.
На рутъра съм port-forward-нал един порт към приемника.
Забелязах че към приемника се закача един натрапник.
Исках да му блокирам IP адреса му и го добавих в адрес листата - blacklist.
И добавих следните правила в ip firewall filter. 

 1    chain=input action=accept connection-state=established 
 2    chain=input action=accept connection-state=related 
 3    chain=input action=accept in-interface=ether1 log=no log-prefix="" ipsec-policy=in,ipsec 
 4    chain=input action=accept protocol=udp in-interface=ether1 dst-port=500,4500 log=no log-prefix="" 
 5    chain=input action=accept protocol=ipsec-esp in-interface=ether1 log=no log-prefix="" 
 6    chain=input action=drop src-address-list=shodan in-interface=ether1 log=no log-prefix="" 
 7    chain=input action=drop src-address-list=facebook in-interface=ether1 log=no log-prefix="" 
 8    chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix="" 
 9    chain=input action=drop in-interface=ether1

Днес гледам пак се е появил.
Ако са ми правилни правилата някак си е заобиколил firewall-а.

Във лога виждам следното: 

07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:27 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:29 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52

В приемника виждам че е вътре с netstat: 

tcp        0      0 192.168.0.30:44159      192.168.0.31:44708    ESTABLISHED
tcp        0    144 192.168.0.30:22         192.168.0.10:51631      ESTABLISHED
tcp        0      0 192.168.0.30:37678      192.168.0.61:445        ESTABLISHED
tcp        0      0 ::ffff:192.168.0.30:8001 ::ffff:109.121.xxx.xxx:56604 ESTABLISHED

Другите адреси нямат ::ffff: каквото и да е това. Може би така заобикаля firewall-а или грешно го блокирам.

Грешно ли блокирам адресът му? В input или във forward chain трябва да е филтъра?

Edited by imperia
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)
Преди 3 часа, imperia написа:

Във лога виждам следното: 


07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:27 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:29 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52

 

Ми правилно виждаш дропнатие от стената пакети, просто си сложи лог префикс на дроп правилата за да знаеш точно от кое правило са генерирани !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
imperia
Newbie

imperia

Posted
  • Author
Posted (edited)

Аз май само лог съм сложил на 
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix=""
но все пак ще добавя един префикс.

Виждам ги че са дропнати но натрапника се е закачил и гледа.
Да не са ми объркани правилата?
input или forward трябва да е chain-а?

Edited by imperia
Link to comment
Share on other sites
  • 0
  • Administrator
JohnTRIVOLTA Proficient

JohnTRIVOLTA

Posted
  • Administrator
Posted (edited)
преди 37 минути, imperia написа:

Аз май само лог съм сложил на 
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix=""
но все пак ще добавя един префикс.

Виждам ги че са дропнати но натрапника се е закачил и гледа.
Да не са ми объркани правилата?
input или forward трябва да е chain-а?

Как разбра , че се е закачил и гледа ? Разбира се че се гледа входната верига, нали си пренасочил порт ! 

Edited by JohnTRIVOLTA
Link to comment
Share on other sites
  • 0
imperia
Newbie

imperia

Posted
  • Author
Posted

Виждам го с netstat в самия приемник. Виждам го и на екрана на телевизора. Не мога да сменям канали защото той ползва тунера.

Link to comment
Share on other sites
  • 0
imperia
Newbie

imperia

Posted
  • Author
Posted

Нещо такова се получава сигурно. Блокирам го в input chainа, но после port forwarding правилото го пуска.

 

Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted

Протокол + Порт + Интерфейс,

придружени с действие DROP 

Понеже ти е в листа то тогава 

Интерфейс + адресна листа и действие drop
директно в RAW раздела

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

RB951Ui-2HnD / RBD25GR-5HPACQD2HPND&R11E-LTE6 /  RB952Ui-5ac2nD-TC

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept