[linux] Re: reject-with icmp-host-prohibited

M. Piscaer michiel op piscaer.com
Di Sep 27 18:11:35 CEST 2005 

Op 27-sep-2005, om 17:23 heeft Gijs Hillenius het volgende geschreven:

> Dit is een vervolg op mijn vraag van afgelopen zondag,
>
> dat ging over een script dat /var/log/auth.log checkt en bij het
> tegenkomen van 'Illegal user' zet ie dat ip adres een paar minuten in
> een blacklist.. Ik heb het idee dat het script wel werkt, maar mijn
> firewall niet 'af' is, zodat de twee samen toch niet werken..
>
>
> Ik heb weer zo'n ssh-belletje-trekker..
>
> in de log:
> Sep 27 04:02:04 waterstof sshd[15637]: Illegal user test from  
> 220.95.212.147
> Sep 27 04:02:07 waterstof sshd[15916]: Illegal user test from  
> 220.95.212.147
> Sep 27 04:02:09 waterstof sshd[16037]: Illegal user test from  
> 220.95.212.147
> etcetera..
>
> als ik nu kijk in mijn firewall met iptables -nvL
>
>
> dan zie ik
> bij de
> Chain INPUT (policy DROP 2196 packets, 365K bytes)
>
> 0 0 BLACKLIST tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x16/0x0
> en
> bij de
> Chain BLACKLIST (1 references)
>
> 0     0 REJECT     all  --  *      *       220.95.212.147
> 0.0.0.0/0           reject-with icmp-host-prohibited
>
>
> dat betekent toch dat er geen pakketten van dat adres zijn geweigerd,
> of? Terwijl dat wel had gemogen :-)
>
>
Wat je ziet is dat het pakket geaccepteerd wordt dat zie je namelijk  
aan je log. Dat je sshblack werkt immers hij zet het IP adres in de  
firewall. maar het pakket komt niet in de chain BLACKLIST want de  
verwijzing ernaar staan de tellers op null. Dus of het pakket wordt  
al eerder in INPUT geaccepteerd of hij gaat de gehele firewall af  
omdat de regel 0 0 BLACKLIST tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: 
22 flags:0x16/0x0 niet overeenkomt met het desbetreffende pakket.

Ik weet niet welke tcp opties 0x16/0x0 (ik vermoed dat er achter de  
0x0 een 2 moet komen te staan). Maar wat staat er nog meer in de  
INPUT chain want ergens moeten die pakketten naar toe gestuurd zijn.  
En ze zijn niet naar de BLACKLIST chain gestuurd.

Maar waar dan wel naar toe?

Ok heb toch maar zelf in mijn firewall gekeken en 0x16/0x02 is een  
optie die mee komt met iptables --syn optie.

Weet ik nog niet wat het inhoud. Maar een mogelijke oplossing zou  
kunnen zijn dat je die --syn moet weg halen uit de firewall zodat  
alle pakketten met bestemmingsport 22 (ssh) naar de BLACKLIST gaat  
zodat je daar kan filteren of hij geaccepteerd mag worden de ja of de  
nee.

Of wat ook nog fout kan zijn is dat het ssh pakket al eerder in INPUT  
geaccepteerd wordt. Maar dat kan ik niet zien aangezien ik niet je  
hele INPUT chain ken.

Mvgr,

Michiel


michiel op piscaer.com

VoIP adres: michiel op piscaer.com
Jabber: masterpe op myjabber.net
MSN: my op masterpe.nl
Tel: 045-6454166
Mob: 06-16048782

Middels gizmo is het mogelijk om dit VoIP adres te bellen. Voor meer  
informatie zie gizmoproject.com

More information about the Linux mailing list