Hola a todo, tengo un server con CentOS como firewall con shorewall, ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada desde internet, no quisiera pensar que es ataque, pero asi parece.
Antes de empezar a realizar acciones me gustaria conocer sus impresiones y alguna recomendacion, en el log se puede ver que no se esta permitiendo el ingreso, tal como lo tengo restringido, pero no veo que sea normal.
Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP SPT=49885 DPT=47794 LEN=38 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP SPT=45503 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP SPT=6964 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP SPT=36608 DPT=47794 LEN=75
Gracias
Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall). Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son distribuidos en el mundo o pueden estar utilizando redes Thor o similar para que no sean indentificados. Todos atacan al mismo puerto, que corres ahí??
El log que te tira no veo el puerto al que intentan acceder. Y /var/log/secure como esta?
#Algunas reglas que utilizo en iptables no se como será para shorewall # al tercer intento de conexión lo baneo por varias horas, ojo que es al puerto 22 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 36000 --hitcount 3 --rttl --name SSH -j DROP
inetnum: 213.155.216.0 - 213.155.223.255 netname: BRSI-RU-NET-10 descr: Joint Stock Company "Central Telecommunications Company" Bryansk Branch country: RU admin-c: SNK6-RIPE tech-c: AAK19-RIPE status: ASSIGNED PA mnt-by: BRSI-RU-MNT source: RIPE # Filtered
person: Alexander A Kelner address: OJSC Rostelecom, Bryansk branch address: prosp. Lenina, d.47 address: 241050, Bryansk address: Russia phone: +7 4832 722708
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de cheperobert Enviado el: jueves, 05 de julio de 2012 11:03 Para: centos-es@centos.org Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages
Hola a todo, tengo un server con CentOS como firewall con shorewall, ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada desde internet, no quisiera pensar que es ataque, pero asi parece.
Antes de empezar a realizar acciones me gustaria conocer sus impresiones y alguna recomendacion, en el log se puede ver que no se esta permitiendo el ingreso, tal como lo tengo restringido, pero no veo que sea normal.
Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP SPT=49885 DPT=47794 LEN=38 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP SPT=45503 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP SPT=6964 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP SPT=36608 DPT=47794 LEN=75
Gracias
-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El día 5 de julio de 2012 09:49, Pablo Flores Aravena pabflore@uchile.cl escribió:
Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall). Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son distribuidos en el mundo o pueden estar utilizando redes Thor o similar para que no sean indentificados. Todos atacan al mismo puerto, que corres ahí??
Primeramente gracias por contestar.
Fijate que ya habia investigado sobre estas IP's, y habia pegado con esos paises Si ese es el puerto, pues que recuerde no corro nada en eso, pero voy a echar un vistaso, recuerda que la maquina donde llegan los ataques es la que estoy utilizando como firewall, con shorewall, tengo interfaz local, DMZ y NEt, los ataques caen de la Net al Firewall en la interfaz publica que da la salida a Internet y entrada.
En el Firewall esta todo cerrado, salvo aquellos purrtos que son necesarios para la la DMZ y la interfaz que da con la red local.
El log que te tira no veo el puerto al que intentan acceder. Y /var/log/secure como esta?
Esta tranquilo, no hay problemas con la conexion SSH, solo esta reportando las conexiones locales que estoy haciendo
#Algunas reglas que utilizo en iptables no se como será para shorewall # al tercer intento de conexión lo baneo por varias horas, ojo que es al puerto 22 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 36000 --hitcount 3 --rttl --name SSH -j DROP
Voy a investigar sobre esto, como lo implemento con shorewall
Gracias
inetnum: 213.155.216.0 - 213.155.223.255 netname: BRSI-RU-NET-10 descr: Joint Stock Company "Central Telecommunications Company" Bryansk Branch country: RU admin-c: SNK6-RIPE tech-c: AAK19-RIPE status: ASSIGNED PA mnt-by: BRSI-RU-MNT source: RIPE # Filtered
person: Alexander A Kelner address: OJSC Rostelecom, Bryansk branch address: prosp. Lenina, d.47 address: 241050, Bryansk address: Russia phone: +7 4832 722708
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de cheperobert Enviado el: jueves, 05 de julio de 2012 11:03 Para: centos-es@centos.org Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages
Hola a todo, tengo un server con CentOS como firewall con shorewall, ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada desde internet, no quisiera pensar que es ataque, pero asi parece.
Antes de empezar a realizar acciones me gustaria conocer sus impresiones y alguna recomendacion, en el log se puede ver que no se esta permitiendo el ingreso, tal como lo tengo restringido, pero no veo que sea normal.
Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP SPT=49885 DPT=47794 LEN=38 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP SPT=45503 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP SPT=6964 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP SPT=36608 DPT=47794 LEN=75
Gracias
-- Saludos, cheperobert _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Qué ventajas y desventajas tiene hacerlo directamente con iptables contra hacerlo mediante fail2ban?
A mi gusto prefiero fail2ban para proteger puerto abiertos por iptables, con una simple config te evitas varios dolores de cabeza, pero como soy paranoico también configuro mi iptables para que bloquee en caso de fail2ban "falle".
Una de las ventajas o diferencias que me gusta. Al ejecutar #iptables -L -n te muestra las ip baneadas por fail2ban mas un log + correo. En cambio iptables solito no muestra las ip banneadas pero si su log con los intentos de acceso (otra regla distinta a la anterior). Creo que en iptables se debe poder pero no me he puesto a investigar. El dinamismos de bloqueo de fail2ban es buenísimo, no tengo que recargar la config de mi firewall para cargar nuevas reglas. Claro que con un script logro lo mismo pero para que crear uno nuevo si esta fail2ban que en un rato esta corriendo y protegiéndonos.
En resumen. "Aplico restricciones por iptables para asegurar el chancho"
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de Fernando Rojas De La Torre Enviado el: jueves, 05 de julio de 2012 12:08 Para: centos-es@centos.org Asunto: Re: [CentOS-es] Shorewall me genera muchos log en /var/log/messages
Qué ventajas y desventajas tiene hacerlo directamente con iptables contra hacerlo mediante fail2ban? -- Enviado desde mi teléfono Android con K-9 Mail. Disculpa mi brevedad
Pablo Flores Aravena pabflore@uchile.cl escribió:
Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall). Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son distribuidos en el mundo o pueden estar utilizando redes Thor o similar para que no sean indentificados. Todos atacan al mismo puerto, que corres ah ??
El log que te tira no veo el puerto al que intentan acceder. Y /var/log/secure como esta?
#Algunas reglas que utilizo en iptables no se como ser para shorewall # al tercer intento de conexi n lo baneo por varias horas, ojo que es al puerto 22 iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 36000 --hitcount 3 --rttl --name SSH -j DROP
inetnum: 213.155.216.0 - 213.155.223.255 netname: BRSI-RU-NET-10 descr: Joint Stock Company "Central Telecommunications Company" Bryansk Branch country: RU admin-c: SNK6-RIPE tech-c: AAK19-RIPE status: ASSIGNED PA mnt-by: BRSI-RU-MNT source: RIPE # Filtered
person: Alexander A Kelner address: OJSC Rostelecom, Bryansk branch address: prosp. Lenina, d.47 address: 241050, Bryansk address: Russia phone: +7 4832 722708
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de cheperobert Enviado el: jueves, 05 de julio de 2012 11:03 Para: centos-es@centos.org Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages
Hola a todo, tengo un server con CentOS como firewall con shorewall, ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada desde internet, no quisiera pensar que es ataque, pero asi parece.
Antes de empezar a realizar acciones me gustaria conocer sus impresiones y alguna recomendacion, en el log se puede ver que no se esta permitiendo el ingreso, tal como lo tengo restringido, pero no veo que sea normal.
Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP SPT=49885 DPT=47794 LEN=38 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP SPT=45503 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP SPT=6964 DPT=47794 LEN=75 Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP SPT=36608 DPT=47794 LEN=75
Gracias
-- Saludos, cheperobert _____________________________________________
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
_____________________________________________
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Gracias por sus respuestas a todos por sus respuestas, al final he utilizado Fail2Ban junto con Shorewall y me ha funcionado muy bien, les dejo la instrucción utilizada, en el filtro de fail2ban (kernel.conf).
failregex = Shorewall:net2fw.DROP.*SRC=<HOST>
Seguiré investigando, y tratando el problema.
-
cheperobert -
Fernando Rojas De La Torre -
Pablo Flores Aravena