Administrace komentářů

Default je nezajimavej ...

Z toho vypisu:

Mas tam vymenovany IPcka, kterym to nepovoli SSH, coz ti tam generuje f2b. To je prvni pravidlo. Pak mas povoleni uz navazanych pripojeni. Mas kompletne povoleny ICMP (coz neni na ipv4 dobre). Pak mas povoleno vse, coz znamena, ze tim koncis a dal se paket nedostane. Ty dalsi pravidla jsou tam uplne knicemu jedno povoluje ssh, duhy zase !naprosto spatne! ** vse odmita).

Takze prakticky jediny pravidlo ktery tam dava nejakej smysl je jen to prvni, ostatni jsou nanic.

Na outputu nic nemas, takze tohle by pouziti http branit nemelo.

Mas zakazany routovani, coz je ovsem blbost delat takhle, protoze DROP na chainu je mnohem prihodnejsi. Takhle muzes tak akorat slouzit jako forwarder nejakyho toho ddosu.

Spis se mrkni na iptables -nvL, to ti zobrazi i citace (zajimaji te pocty paketu) u jednotlivych pravidel + dalsi podrobnosti.

**

Pamatuj si, ze na verejne dostupny siti nema reject v prakticky 100% pripadu vubec co pohledavat. Protoze tim docilis pouze toho, ze kdyz ti ja poslu paket from prezident ... tak ty posles prezidentovi, ze paket neprijimas. A tvoje IP skonci na nejakym blacklistu. Verejnej firewall by vzdy mel mit policy (ten default) na drop. Proste kdyz dorazi neco co nechces, tak to potichu zahodis. Mimochodem to samo naprosto blbe dela i ten f2b. Coz je kapitola sama pro sebe, v tyhle podobe (tak jak se chova tobe) ti na tvuj stroj udelat DOS je naprosta trivka, behem par minut ti vygeneruju miliony pravidel a tvuj firewall se z toho podela.

****

Ad ten zbytek co z nej nejsi moudrej, nebudu z toho delat dalsi prispevek zasratymu guuglu, takze posilas pakety na port 80 a v ty druhy casti vidis, ze prichazeji, ale neni tam zadna odezva, coz je spatne.

Kdyby to fungovalo spravne, bude tam neco jako:

...IP mail.vidocq.cz.34359 > ZABBIX-SPRINC.http:...
...IP ZABBIX-SPRINC.http > mail.vidocq.cz.34359:...

Tzn ty posles pozadavek na server a on ti odpovi. Tudiz problem je jednoznacne na strane toho serveru, protoze neodpovi.

Takze co me napada jsou dve veci, posilas odpoved jinam nez na eth0. Mas blbe nakonfigurovanej apache. V obou pripadech bys ale mel v logu apache videt nejaky pokusy, takze se tam podivej, jestli tam neco je, tak to znamena, ze ty pozadavky mu dojdou.

---

Dete s tim guuglem dopice!