1 Temat przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Temat: monitorowanie polaczen - blacklista

Witam,
Nie moglem znlalezc podobnego watku dlatego pytam:)
Chcialbym stworzyc baze ze zlosliwymi adresami IP (np. W pliku), ktora sluzyla by po to aby szybko wylapac polaczenia do zlosliwych adresow. Pozwoli to oczywiscie na szybkie okreslenie zarazonej maszyny z mojej sieci.
Wykorzystywalem kiedys do dropowania zlosliwych polaczen iptables, ktory mial baze w pliku.

Moze ktos z Was ma podobne rozwiazanie u siebie w Gargole? Moze jest gotowe rozwiazanie dla gui? Jak wyglada to wydajnosciowo na takich routerkach z OpenWrt?

Prosba o jakies sensowne podpowiedzi w temacie.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: monitorowanie polaczen - blacklista

Zwykły "adblock"? Opisane na eko.one.pl

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Odp: monitorowanie polaczen - blacklista

Cezary napisał/a:

Zwykły "adblock"? Opisane na eko.one.pl

Dzieki bardzo. Skorzystam z tego rozwiazania

4 Odpowiedź przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Odp: monitorowanie polaczen - blacklista

Ale z tego z wyczytalem chodzi tylko o blokowanie polaczen. Ja potrzebowalbym jakis alertow albo chociaz logow do wgladu aby analizowac zarazone stacje robocze.

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: monitorowanie polaczen - blacklista

Więc sobie dodaj jakieś logowanie, chociaż by przez iptables. To nie windows że masz zamkniętą aplikację, możesz zrobić co i jak chcesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Odp: monitorowanie polaczen - blacklista

Cezary napisał/a:

Więc sobie dodaj jakieś logowanie, chociaż by przez iptables. To nie windows że masz zamkniętą aplikację, możesz zrobić co i jak chcesz.

Ok. Mam już gotowy skypt, który pobiera dane z pliku i dopisuje wszystkie adres w iptables. Problem jest jednak inny. Nie wiem w którym łancuchu dopisać DROP. Troche rozbudowany ten FW w openwrt jest. Może ktoś podpowiedzieć w którym miejscu dopisywać reguły. Próbowałem chyba w każdej regule związanej z output (bo chce blokować na wyjściu) i nadal komunikacja jest a nie powinno być po dopisaniu DROP 'a.

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: monitorowanie polaczen - blacklista

Forward, tyle że regułę dodaj z -I (nie -A). Nie jest to poprawne politycznie wg openwrt, ale przynajmniej nie będziesz się zastanawiał który łańcuch do czego w openwrt służy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Odp: monitorowanie polaczen - blacklista

wszystko działa pięknie ale do czasu reboot 'a moje routerka sad Po wprowadzeniu wpisu, zapisuję zmiany iptables-save. Po wykonaniu restartu brak wpisów w iptables. O co tu chodzi? Jak można zapisywać zmiany aby restart ich nie zerował? Pomocy sad

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: monitorowanie polaczen - blacklista

Bo masz to wpisać do /etc/firewall.user. Poczytaj jak wygląda firewall w openwrt.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez build000

  • Zarejestrowany: 2013-06-25
  • Posty: 2,058

Odp: monitorowanie polaczen - blacklista

Na snort też idzie coś takiego wykminić - ale fakt - więcej dłubaniny.

11 Odpowiedź przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Odp: monitorowanie polaczen - blacklista

Cezary napisał/a:

Bo masz to wpisać do /etc/firewall.user. Poczytaj jak wygląda firewall w openwrt.

Thx. Wszystko dziala jak nalezy. Mam liste ponad 1300 adresow IP dopisana i routerek podolal smile. Dzieki za pomoc.

12 Odpowiedź przez cy3ul

  • cy3ul
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-04-10
  • Posty: 92

Odp: monitorowanie polaczen - blacklista

Witam.
Krotko w temacie blokowania duzej ilosci adresow na routerach.
Polecam wykorzystanie ipset (baza adresow IP) wraz z iptables (blokowanie i/lub logowanie). Samo wykorzystanie iptables jest malo wydajne.
Przy liscie zawierajace np. 1800 adresow IP i ruchu download na poziomie 7 MBit/s, load mialem 7-10.
Po przejsciu na ipset i 2 regulach w iptables load jest na poziomie 0.1 - 0,3.

Naprawde warto zainteresowac sie tym rozwiazaniem jezeli komus zalezy na blokowaniu duzej ilosci adresow.

Tak na marginesie to fajnie by bylo miec web interfejs do wrzucania adresow IP np z pliku. Taki pomysl na nowa funkcjonalnosc np. Gargolu smile