Re: [FUG-BR] Regras IPFW contra scanners
Essas aqui : http://www.fugspbr.org/historico/html/freebsd/2007-09/msg00294.html []'s Em Sáb, 2009-05-30 às 10:10 -0300, Thiago Gomes escreveu: Pessoal, Quais as regras no IPFW que faço para logar um tentativa de scanner no meu servidor ?? como faço para o IPFW logar em arquivo separado essas tentativas.. tem alguma maneira ?? Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW contra scanners
Se é para logar essas tentativas e tomar alguma atitude, acho melhor colocar o portsentry. /usr/ports/security/portsentry Sérgio Ferreira WGO Telecom Em 30/05/2009, às 10:10, Thiago Gomes escreveu: Pessoal, Quais as regras no IPFW que faço para logar um tentativa de scanner no meu servidor ?? como faço para o IPFW logar em arquivo separado essas tentativas.. tem alguma maneira ?? Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW contra scanners
Tenta olhar também o ossec-hids 2009/5/30 Sergio Ferreira ser...@wgo.com.br Se é para logar essas tentativas e tomar alguma atitude, acho melhor colocar o portsentry. /usr/ports/security/portsentry Sérgio Ferreira WGO Telecom Em 30/05/2009, às 10:10, Thiago Gomes escreveu: Pessoal, Quais as regras no IPFW que faço para logar um tentativa de scanner no meu servidor ?? como faço para o IPFW logar em arquivo separado essas tentativas.. tem alguma maneira ?? Thiago Gomes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- atenciosamente, Franklin de França - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW
Luan. Procure por ipfw, natd, divert. O comando route fica bem parecido, basta você dar um man route. Sds, Eduardo. -- From: Luan Tasca [EMAIL PROTECTED] Sent: Thursday, December 04, 2008 2:33 PM To: freebsd@fug.com.br Subject: [FUG-BR] Regras IPFW tenho essas duas regras, estao pra iptables iptables -t nat -s 192.168.5.201 -A POSTROUTING -o rl0 -j MASQUERADE route add -net 192.168.5.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0 alguem poderia me falar regras semelhantes mais para ipfw ? _ Instale a Barra de Ferramentas com Desktop Search e ganhe EMOTICONS para o Messenger! É GRÁTIS! http://www.msn.com.br/emoticonpack - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW
2008/10/10, Gelsimauro Batista dos Santos [EMAIL PROTECTED]: Gostaria de Criar uma regra com IPFW no meu servidor NAT que bloqueie todo o trafego diretamente a ele liberando apenas a porta 22. que não interferisse em nada nos clientes que usam NAT. Imaginei que a regra abaixo com me service para isso mas não funcionou com eu desejava $IPFW add 36 allow tcp from any to me 22 $IPFW add 65534 reset all from any to me Alguem pode me ajudar?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Veja se funciona... ipfw xx add allow tcp from any to me 22 ipfw xx add deny log tcp from any to me setup -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw no boot
Ele carrega cada regra de 1 vez, ele vai lendo o arquivo com os ips, e vai
criando 1 regra do ipfw para cada ip somente, 50 ips 50 regras
- Original Message -
From: Gelsimauro Batista dos Santos [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Wednesday, January 16, 2008 1:41 AM
Subject: Re: [FUG-BR] regras ipfw no boot
Uma pergunta ele demora porque repete o carregamento das regras vários
vezes?
Em 14/01/08, Marcelo de Souza Sant'Anna [EMAIL PROTECTED]
escreveu:
Você pode criar uma macro adicionando os IPs/Redes que deseja e criar
uma regra usando esta macro no próprio arquivo de regras do IPFW.
Exemplo:
...
ipfwcmd=/sbin/ipfw
srvmsn=xxx.xxx.xxx.xxx
clientesmsn={ xxx.xxx.xxx.xxx or yyy.yyy.yyy.yyy or zzz.zzz.zzz.zzz }
${ipfwcmd} add allow tcp from ${clientesmsn} to ${srvmsn} dst-port 1863
...
Além de ficar mais limpo seu arquivo de regras, pois elimina um monte de
linhas, facilita sua manutenção.
Marcelo de Souza Sant'Anna
On Mon, 2008-01-14 at 11:54 -0200, Denis gmail wrote:
como seria esse esquema?
---
- Original Message -
From: Marcelo de Souza Sant'Anna [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Monday, January 14, 2008 11:00 AM
Subject: Re: [FUG-BR] regras ipfw no boot
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw no boot
On Wed, 2008-01-16 at 00:41 -0300, Gelsimauro Batista dos Santos wrote: Uma pergunta ele demora porque repete o carregamento das regras vários vezes? Isto não é normal. Tenho isto no trabalho e é muito rápido, e olha que tenho dezenas de regras devido às necessidades do local. Porque não posta aqui suas regras? -- Marcelo de Souza Sant'Anna signature.asc Description: This is a digitally signed message part - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw no boot
Uma pergunta ele demora porque repete o carregamento das regras vários
vezes?
Em 14/01/08, Marcelo de Souza Sant'Anna [EMAIL PROTECTED]
escreveu:
Você pode criar uma macro adicionando os IPs/Redes que deseja e criar
uma regra usando esta macro no próprio arquivo de regras do IPFW.
Exemplo:
...
ipfwcmd=/sbin/ipfw
srvmsn=xxx.xxx.xxx.xxx
clientesmsn={ xxx.xxx.xxx.xxx or yyy.yyy.yyy.yyy or zzz.zzz.zzz.zzz }
${ipfwcmd} add allow tcp from ${clientesmsn} to ${srvmsn} dst-port 1863
...
Além de ficar mais limpo seu arquivo de regras, pois elimina um monte de
linhas, facilita sua manutenção.
Marcelo de Souza Sant'Anna
On Mon, 2008-01-14 at 11:54 -0200, Denis gmail wrote:
como seria esse esquema?
---
- Original Message -
From: Marcelo de Souza Sant'Anna [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Monday, January 14, 2008 11:00 AM
Subject: Re: [FUG-BR] regras ipfw no boot
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw no boot
O próprio IPFW pode fazer isto para você, utilizando um arquivo externo. Não precisa fazer isto no boot através de um script... On Mon, 2008-01-14 at 10:19 -0200, Denis gmail wrote: Bom dia a todos, tenho um script .sh que coloquei no rc.local para rodar no boot ele simplesmente pega um arquivo txt que contem 50 ips e cria uma regra de ipfw para cada um liberando o msn tipo ipfw add 103 allow ip from any to IP 1863 soh que demora na tela uns 15 segundos para carregar cada regra, se eu executo esse script na mao, carrega as 50 regras muito rapido, mas no boot demora O que pode ser? Engº Denis Granato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd signature.asc Description: This is a digitally signed message part - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw no boot
como seria esse esquema? --- - Original Message - From: Marcelo de Souza Sant'Anna [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, January 14, 2008 11:00 AM Subject: Re: [FUG-BR] regras ipfw no boot - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw no boot
Você pode criar uma macro adicionando os IPs/Redes que deseja e criar
uma regra usando esta macro no próprio arquivo de regras do IPFW.
Exemplo:
...
ipfwcmd=/sbin/ipfw
srvmsn=xxx.xxx.xxx.xxx
clientesmsn={ xxx.xxx.xxx.xxx or yyy.yyy.yyy.yyy or zzz.zzz.zzz.zzz }
${ipfwcmd} add allow tcp from ${clientesmsn} to ${srvmsn} dst-port 1863
...
Além de ficar mais limpo seu arquivo de regras, pois elimina um monte de
linhas, facilita sua manutenção.
Marcelo de Souza Sant'Anna
On Mon, 2008-01-14 at 11:54 -0200, Denis gmail wrote:
como seria esse esquema?
---
- Original Message -
From: Marcelo de Souza Sant'Anna [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Monday, January 14, 2008 11:00 AM
Subject: Re: [FUG-BR] regras ipfw no boot
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
signature.asc
Description: This is a digitally signed message part
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW
Utilizei a seguinte regra em meu servidor Web, pois haviam muitas
conexoes simultaneas de alguns clientes e o consumo de banda estava
alto
ipfw add 11014 pipe 96 all from 192.168.1.14 to any in via vr1 limit
src-addr 10
ipfw add 11014 pipe 128 all from any to 192.168.1.14 out via vr1 limit
src-addr 10
só que com essa regra o msn não conecta e alguns sites (sites seguros,
https, etc)nao abriam
o que pode ser?
Obrigado desde já
Os 2 primeiros são uma tentativa de explorar alguma vulnerabilidade e o
terceiro é o classico brute-force ssh.
Será que tem como fazer uma regra limitando o numero de conexão (tcp e
udp) de um determinado host para *vários* hosts da minha rede???
Por exemplo:
Vamos supor que posso limitar esse numero a 5 conexões. Todo o host que
enviar pacotes para mais de 5 hosts diferentes na minha rede será
bloqueado por n minutos.
Abraços,
Renato
--
-
Renato L. Sousa - Administrador de Redes
Instituto de Química - UNICAMP
Campinas - SP
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Se eu entendi direito, você quer algo mais ou menos assim:
ipfw add allow tcp from any to me 22 limit src-addr 2
Neste caso é limitado a duas conexões por origem. Outras opções veja a
option limit na man page do ipfw.
limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified.
Dê uma olhada nas recomendações do CERT-BR para evitar abuso de ssh.
http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
Bom trabalho!
--
Francisco Ricardo
I3C - Treinamentos e Soluções Open Source
Natal/RN
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW
Você usa algum tipo de proxy? talvez a regra para o redirecionamento
não estava vindo antes das tuas duas regras postadas, logo ele
limitava o uso antes de redirecionar o você precisaria liberar as
portas de sites seguros e etc sem o uso do limit, assim solucionaria o
problema, pois é estranho limitar o uso da porta http, https, entre
alguns serviços que exigem diversas conexões simultaneas ... e enfim
=), essa é minha idéia!
Em 18/05/07, Denis Granato[EMAIL PROTECTED] escreveu:
Utilizei a seguinte regra em meu servidor Web, pois haviam muitas
conexoes simultaneas de alguns clientes e o consumo de banda estava
alto
ipfw add 11014 pipe 96 all from 192.168.1.14 to any in via vr1 limit
src-addr 10
ipfw add 11014 pipe 128 all from any to 192.168.1.14 out via vr1 limit
src-addr 10
só que com essa regra o msn não conecta e alguns sites (sites seguros,
https, etc)nao abriam
o que pode ser?
Obrigado desde já
Os 2 primeiros são uma tentativa de explorar alguma vulnerabilidade e o
terceiro é o classico brute-force ssh.
Será que tem como fazer uma regra limitando o numero de conexão (tcp e
udp) de um determinado host para *vários* hosts da minha rede???
Por exemplo:
Vamos supor que posso limitar esse numero a 5 conexões. Todo o host que
enviar pacotes para mais de 5 hosts diferentes na minha rede será
bloqueado por n minutos.
Abraços,
Renato
--
-
Renato L. Sousa - Administrador de Redes
Instituto de Química - UNICAMP
Campinas - SP
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Se eu entendi direito, você quer algo mais ou menos assim:
ipfw add allow tcp from any to me 22 limit src-addr 2
Neste caso é limitado a duas conexões por origem. Outras opções veja a
option limit na man page do ipfw.
limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified.
Dê uma olhada nas recomendações do CERT-BR para evitar abuso de ssh.
http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
Bom trabalho!
--
Francisco Ricardo
I3C - Treinamentos e Soluções Open Source
Natal/RN
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW
On 5/7/07, Renato Luiz de Sousa [EMAIL PROTECTED] wrote:
Bom dia amigos da lista!!!
Tenho notado no log do meu firewall diversas conexões quem tem o mesmo
padrão:
um host origem - muitos hosts da minha rede portas
(1026/udp,1027/udp,22/tcp, etc)
Os 2 primeiros são uma tentativa de explorar alguma vulnerabilidade e o
terceiro é o classico brute-force ssh.
Será que tem como fazer uma regra limitando o numero de conexão (tcp e
udp) de um determinado host para *vários* hosts da minha rede???
Por exemplo:
Vamos supor que posso limitar esse numero a 5 conexões. Todo o host que
enviar pacotes para mais de 5 hosts diferentes na minha rede será
bloqueado por n minutos.
Abraços,
Renato
--
-
Renato L. Sousa - Administrador de Redes
Instituto de Química - UNICAMP
Campinas - SP
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Se eu entendi direito, você quer algo mais ou menos assim:
ipfw add allow tcp from any to me 22 limit src-addr 2
Neste caso é limitado a duas conexões por origem. Outras opções veja a
option limit na man page do ipfw.
limit {src-addr | src-port | dst-addr | dst-port} N
The firewall will only allow N connections with the same set of
parameters as specified in the rule. One or more of source and
destination addresses and ports can be specified.
Dê uma olhada nas recomendações do CERT-BR para evitar abuso de ssh.
http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
Bom trabalho!
--
Francisco Ricardo
I3C - Treinamentos e Soluções Open Source
Natal/RN
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Regras IPFW
Em 07/05/07, Renato Luiz de Sousa[EMAIL PROTECTED] escreveu: Bom dia amigos da lista!!! Tenho notado no log do meu firewall diversas conexões quem tem o mesmo padrão: um host origem - muitos hosts da minha rede portas (1026/udp,1027/udp,22/tcp, etc) Os 2 primeiros são uma tentativa de explorar alguma vulnerabilidade e o terceiro é o classico brute-force ssh. Será que tem como fazer uma regra limitando o numero de conexão (tcp e udp) de um determinado host para *vários* hosts da minha rede??? Por exemplo: Vamos supor que posso limitar esse numero a 5 conexões. Todo o host que enviar pacotes para mais de 5 hosts diferentes na minha rede será bloqueado por n minutos. Abraços, Renato -- - Renato L. Sousa - Administrador de Redes Instituto de Química - UNICAMP Campinas - SP - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Renato, Usa o bruteblock (tá no ports) ... ele faz exatamente isso. -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] regras ipfw
Gelsimauro Batista dos Santos wrote: Tenho um problema com ipfw veja minha regras no rc.filters #!/bin/sh /sbin/ipfw -f flush /sbin/ipfw add 50 allow tcp from me to any /sbin/ipfw add 51 fwd 127.0.0.1,3128 tcp from any to any 80 /sbin/ipfw add 52 allow all from any to any via lo0 /sbin/ipfw add 53 deny ip from any to 127.0.0.0/8 /sbin/ipfw add 54 divert natd all from any to any via rl0 Quando tento executar com o comando “sh” a regra numero 51 da o erro mostrado abaixo server# sh rc.filters Flushed all rules. 00050 allow tcp from me to any ipfw: getsockopt(IP_FW_ADD): Invalid argument 00052 allow ip from any to any via lo0 00053 deny ip from any to 127.0.0.0/8 00054 divert 8668 ip from any to any via rl0 Já usei varias vezes essa regra e nunca tive esse problema meu servidor é um Freebsd 5.3 as configurações do Kernel abaixo. #NAT options IPFIREWALL options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE_LIMIT=100 options IPDIVERT options IPSTEALTH options DUMMYNET options TCP_DROP_SYNFIN Agradeço muito qualquer ajuda. Gelsimauro Batista dos Santos ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Falta isto no KERNEL: # IPFIREWALL_FORWARD enables changing of the packet destination either options IPFIREWALL_FORWARD #packet destination changes ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
