Jump to content
  • 0

Блокиране на адрес


imperia

Question

Здравейте,

Имам следния казус:
В вътрешната ми мрежа имам приемник за сателитна телевизия (set-top-box) който е Линукс.
На рутъра съм port-forward-нал един порт към приемника.
Забелязах че към приемника се закача един натрапник.
Исках да му блокирам IP адреса му и го добавих в адрес листата - blacklist.
И добавих следните правила в ip firewall filter.

 1    chain=input action=accept connection-state=established 
 2    chain=input action=accept connection-state=related 
 3    chain=input action=accept in-interface=ether1 log=no log-prefix="" ipsec-policy=in,ipsec 
 4    chain=input action=accept protocol=udp in-interface=ether1 dst-port=500,4500 log=no log-prefix="" 
 5    chain=input action=accept protocol=ipsec-esp in-interface=ether1 log=no log-prefix="" 
 6    chain=input action=drop src-address-list=shodan in-interface=ether1 log=no log-prefix="" 
 7    chain=input action=drop src-address-list=facebook in-interface=ether1 log=no log-prefix="" 
 8    chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix="" 
 9    chain=input action=drop in-interface=ether1 

Днес гледам пак се е появил.
Ако са ми правилни правилата някак си е заобиколил firewall-а.

Във лога виждам следното:

07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:27 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:29 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 

В приемника виждам че е вътре с netstat:

tcp        0      0 192.168.0.30:44159      192.168.0.31:44708    ESTABLISHED
tcp        0    144 192.168.0.30:22         192.168.0.10:51631      ESTABLISHED
tcp        0      0 192.168.0.30:37678      192.168.0.61:445        ESTABLISHED
tcp        0      0 ::ffff:192.168.0.30:8001 ::ffff:109.121.xxx.xxx:56604 ESTABLISHED

Другите адреси нямат ::ffff: каквото и да е това. Може би така заобикаля firewall-а или грешно го блокирам.

Грешно ли блокирам адресът му? В input или във forward chain трябва да е филтъра?

Edited by imperia
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
  • Administrator
Преди 3 часа, imperia написа:

Във лога виждам следното:


07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:54:54 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (RST), 109.121.xxx.xxx:56604->93.152.yyy.yyy:8001, len 40 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:26 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:27 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 
07:55:29 firewall,info input: in:ether1 out:(none), src-mac cc:e1:7f:fb:2a:00, proto TCP (ACK,FIN), 109.121.xxx.xxx:56916->93.152.yyy.yyy:8001, len 52 

 

Ми правилно виждаш дропнатие от стената пакети, просто си сложи лог префикс на дроп правилата за да знаеш точно от кое правило са генерирани !

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Аз май само лог съм сложил на 
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix=""
но все пак ще добавя един префикс.

Виждам ги че са дропнати но натрапника се е закачил и гледа.
Да не са ми объркани правилата?
input или forward трябва да е chain-а?

Edited by imperia
Link to comment
Share on other sites

  • 0
  • Administrator
преди 37 минути, imperia написа:

Аз май само лог съм сложил на 
chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix=""
но все пак ще добавя един префикс.

Виждам ги че са дропнати но натрапника се е закачил и гледа.
Да не са ми объркани правилата?
input или forward трябва да е chain-а?

Как разбра , че се е закачил и гледа ? Разбира се че се гледа входната верига, нали си пренасочил порт ! 

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Виждам го с netstat в самия приемник. Виждам го и на екрана на телевизора. Не мога да сменям канали защото той ползва тунера.

Link to comment
Share on other sites

  • 0

Нещо такова се получава сигурно. Блокирам го в input chainа, но после port forwarding правилото го пуска.

 

Link to comment
Share on other sites

  • 0
  • Administrator

Протокол + Порт + Интерфейс,

придружени с действие DROP 

Понеже ти е в листа то тогава 

Интерфейс + адресна листа и действие drop
директно в RAW раздела

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.