Iptables não bloqueará alguns IPs

Navegue suas respostas
1

CentOS 6.2 - vsftpd em execução

O persone atrás 95.76.44.67 varre meu servidor ftp todos os dias e eu o bloqueiei do iptables, mas verificando vsftpd.log eu vejo que ele ainda pode se conectar ao vsftpd e eu não sei porquê.

Aqui está minha saída do iptables: 

Chain INPUT (policy ACCEPT 223K packets, 34M bytes)
num   pkts bytes target     prot opt in     out     source               destination
1    18709 1370K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:512
2    43135 2175K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
3     143K  181M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:62222:63333
4    68342   94M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
5        1    44 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
6     254K   30M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3306
7        8   472 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:465
8     103K  140M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:587
9     122K 7662K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995
10    7486 1039K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
11    1201  114K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:8080
12    277K  595M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
13       0     0 DROP       all  --  *      *       70.148.48.200        0.0.0.0/0
14    2015 81956 DROP       all  --  *      *       95.76.44.67          0.0.0.0/0
15       0     0 DROP       all  --  *      *       95.76.133.243        0.0.0.0/0
16       0     0 DROP       all  --  *      *       95.76.186.81         0.0.0.0/0
17       0     0 DROP       all  --  *      *       95.76.102.135        0.0.0.0/0
18       0     0 DROP       all  --  *      *       118.69.198.201       0.0.0.0/0
19       0     0 DROP       all  --  *      *       69.94.28.73          0.0.0.0/0
20       0     0 DROP       all  --  *      *       218.60.44.132        0.0.0.0/0
21       0     0 DROP       all  --  *      *       80.232.232.9         0.0.0.0/0
22       0     0 DROP       all  --  *      *       61.184.196.122       0.0.0.0/0
23       0     0 DROP       all  --  *      *       61.51.18.235         0.0.0.0/0
24       0     0 DROP       all  --  *      *       218.29.115.152       0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1287K packets, 1178M bytes)
num   pkts bytes target     prot opt in     out     source               destination

Algo que eu possa fazer para impedi-lo de se conectar ao vsftpd?

    
por Ionut 20.07.2012 / 10:35

4 respostas

8

O Iptables trabalha em uma primeira regra para igualar as vitórias, então o 

2    43135 2175K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21

permitindo conexões na porta 21 ganha sobre o 

14    2015 81956 DROP       all  --  *      *       95.76.44.67          0.0.0.0/0

como, para conexões FTP, ele nunca é acionado.

Coloque o DROP para 95.76.44.67 antes da aceitação para FTP. Você provavelmente deseja alterar o comando que implementa isso para -I ... em vez de -A ...

    
por 20.07.2012 / 10:47
4

As regras DROP precisam vir antes da regra que aceita as conexões FTP na porta 21.

O iptables funciona em um primeiro mecanismo de sucesso.

    
por 20.07.2012 / 10:42
1

Para uma política IPTABLE perfeita, primeiro DROP tudo e abra as portas necessárias. No seu caso, coloque a regra DROP antes de ACCEPT. Deve funcionar.

Bom dia.

    
por 21.07.2012 / 09:10
1

Ligeiramente tangencial à questão, mas considere um front end do iptables como o Shorewall ( link ). Você pode adicionar regras de uma forma mais intuitiva, e você pode soltar um determinado endereço dinamicamente apenas executando "shorewall drop 1.2.3.4".

Considere também o fail2ban ( link ), que pode verificar seus registros e eliminar automaticamente determinados endereços IP. Funciona com iptables brutos ou com o Shorewall.

    
por 21.07.2012 / 09:28

Tags

Como você acompanha os computadores da sua empresa? nginx inicia antes do apache