[CentOS-es] Shorewall me genera muchos log en /var/log/messages

Pablo Flores Aravena pabflore en uchile.cl
Jue Jul 5 16:10:16 EDT 2012 

A mi gusto prefiero fail2ban para proteger puerto abiertos por iptables, con 
una simple config te evitas varios dolores de cabeza,
pero como soy paranoico también configuro mi iptables para que bloquee en caso 
de fail2ban "falle".

Una de las ventajas o diferencias que me gusta. Al ejecutar #iptables -L -n te 
muestra las ip baneadas por fail2ban mas un log + correo. En cambio iptables 
solito no muestra las ip banneadas pero si su log con los intentos de acceso 
(otra regla distinta a la anterior). Creo que en iptables se debe poder pero 
no me he puesto a investigar.
El dinamismos de bloqueo de fail2ban es buenísimo, no tengo que recargar la 
config de mi firewall para cargar nuevas reglas. Claro que con un script logro 
lo mismo pero para que crear uno nuevo si esta fail2ban que en un rato esta 
corriendo y protegiéndonos.

En resumen. "Aplico restricciones por iptables  para asegurar el chancho"

-----Mensaje original-----
De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En 
nombre de Fernando Rojas De La Torre
Enviado el: jueves, 05 de julio de 2012 12:08
Para: centos-es en centos.org
Asunto: Re: [CentOS-es] Shorewall me genera muchos log en /var/log/messages

Qué ventajas y desventajas tiene hacerlo directamente con iptables contra 
hacerlo mediante fail2ban?
--
Enviado desde mi teléfono Android con K-9 Mail. Disculpa mi brevedad

Pablo Flores Aravena <pabflore en uchile.cl> escribió:

Mmmmm este es puerto de destino 47794 verdad (no ocupo shorewall).
Es una IP de Rusia, Hungary, LITHUANIA, Bulgaria, FRANCE. Pero son 
distribuidos en el mundo o pueden estar utilizando redes Thor o similar para 
que no sean indentificados. Todos atacan al mismo puerto, que corres ah ??

El log que te tira no veo el puerto al que intentan acceder.
Y /var/log/secure como esta?

#Algunas reglas que utilizo en iptables no se como ser  para shorewall # al 
tercer intento de conexi n lo baneo por varias horas, ojo que es al puerto 22 
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 
recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state 
NEW -m recent --update --seconds 36000 --hitcount 3 --rttl --name SSH -j DROP



inetnum: 213.155.216.0 - 213.155.223.255
netname: BRSI-RU-NET-10
descr: Joint Stock Company "Central Telecommunications Company"
Bryansk Branch
country: RU
admin-c: SNK6-RIPE
tech-c: AAK19-RIPE
status: ASSIGNED PA
mnt-by: BRSI-RU-MNT
source: RIPE # Filtered

person: Alexander A Kelner
address: OJSC Rostelecom, Bryansk branch
address: prosp. Lenina, d.47
address: 241050, Bryansk
address: Russia
phone: +7 4832 722708

-----Mensaje original-----
De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En 
nombre de cheperobert Enviado el: jueves, 05 de julio de 2012 11:03
Para: centos-es en centos.org
Asunto: [CentOS-es] Shorewall me genera muchos log en /var/log/messages

Hola a todo, tengo un server con CentOS como firewall con shorewall, 
ultimamente tengo mucho trafico de varias IP's a la interfaz, te entrada desde 
internet, no quisiera pensar que es ataque, pero asi parece.

Antes de empezar a realizar acciones me gustaria conocer sus impresiones y 
alguna recomendacion, en el log se puede ver que no se esta permitiendo el 
ingreso, tal como lo tengo restringido, pero no veo que sea normal.

Jul 4 22:45:39 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=213.155.217.18 DST=x.x.xx
LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=28797 DF PROTO=TCP
SPT=17869 DPT=47794 WINDOW=8192 RES=0x00 SYN URGP=0 Jul 4 22:45:40 miserver
kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=109.110.138.160 DST=x.x.xx
LEN=58 TOS=0x00 PREC=0x00 TTL=106 ID=35397 PROTO=UDP
SPT=49885 DPT=47794 LEN=38
Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=78.62.73.198 DST=x.x.xx
LEN=95 TOS=0x08 PREC=0x00 TTL=104 ID=28985 PROTO=UDP
SPT=45503 DPT=47794 LEN=75
Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=46.10.234.101 DST=x.x.xx
LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=29175 PROTO=UDP
SPT=6964 DPT=47794 LEN=75
Jul 4 22:45:40 miserver kernel: Shorewall:net2fw:DROP:IN=eth0 OUT=
MAC=00:0e:0c:b2:d7:c9:00:13:c3:08:38:19:08:00 SRC=86.220.49.248 DST=x.x.xx
LEN=95 TOS=0x00 PREC=0x00 TTL=108 ID=867 PROTO=UDP
SPT=36608 DPT=47794 LEN=75


Gracias

--
Saludos,
cheperobert
_____________________________________________

CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es


_____________________________________________

CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es

_______________________________________________
CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Más información sobre la lista de distribución CentOS-es