problema com IPTABLES

[The Dealer]

alguem me ajuda para fazer uma empresa "que está cosntantemente a ser alvo de xmas tress aos seus servidores, que medidas implementar na gateway/firewall (eth0 interior e eth1 exterior) podemos implementar parar registar e processar todos os pacotes irregulares numa cadeia especifica.

Alguem me pode ajudar?

 

[bikeman]

Penso que nos conseguimos responder correctamente a essa questao no teste.

iptables -t nat -A PREROUTING -p tcp –tcp-flags ALL ALL -j LOG
iptables -t nat -A PREROUTING -p tcp –tcp-flags ALL ALL -j DROP

O log ira parar aqui:/var/log/message

 

[The Dealer]

Penso que nos conseguimos responder correctamente a essa questao no teste.

iptables -t nat -A PREROUTING -p tcp –tcp-flags ALL ALL -j LOG
iptables -t nat -A PREROUTING -p tcp –tcp-flags ALL ALL -j DROP

O log ira parar aqui:/var/log/message

no teste de SI de hoje ? lol

 

[bikeman]

Yup

Andamos como sempre as voltas no google, e penso que seja essa a soluçao. Nao se pode pedir muito mais tendo em conta que fazer estes testes em qualquer altura do ano é exactamente igual a fazelos no primeiro dia de aula do ano. Eu ate preferia assim que ficava logo tudo arrumado.

 

[dotfile]

Olá,

Varrimentos com 'xmas tree' (flags TCP FIN, URG e PSH activas) podem ser registados com:

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "nmap-xmas scan:"


.

 

[The Dealer]

Olá,

Varrimentos com 'xmas tree' (flags TCP FIN, URG e PSH activas) podem ser registados com:

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "nmap-xmas scan:"


.

eu fiz algo desse género.

 

[bikeman]

Olá,

Varrimentos com 'xmas tree' (flags TCP FIN, URG e PSH activas) podem ser registados com:

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG --log-prefix "nmap-xmas scan:"


.

Esta correcto, mas é no caso de teres o iptables a proteger uma maquina apenas.

A situaçao que o tiago descreveu, diz respeito ao iptables numa maquina que faz gateway de uma rede. Sendo assim tens de filtrar os pacotes ao nivel da tabela do NAT e nao na tabela FILTER.

E se poes ALL nas flags nao tens necessidade de as descrimininares uma a uma no comando.

 

[dotfile]

E se poes ALL nas flags nao tens necessidade de as descrimininares uma a uma no comando.

O 1º argumento de --tcp-flags (ALL) refere-se às flags que quero examinar. O 2º argumento diz respeito às flags que devem estar activas. Segundo julgo, o 'xmas tree' pressupõe que apenas as flags URG, PUSH e FIN estão activas.

Cumprimentos,
.