Re: IP tables para

2018-05-11 bef zés Zoltán Gerendás 
Hali!

PÁSZTOR György  írta (2018. május 10. 22:59):
> Hi,
>
> "Zoltán Gerendás"  írta 2018-05-09 16:37-kor:
>> Az iptables-save kimenetét ide tettem:
>> https://pastebin.com/E3URP2KP
>>
> Ebben a kimenetben nem látom
>> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT
>> >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT
>
> Ezt a két szabályt.
>
> Lehet ez a gond? :)
>
> Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa
> rulesetet rak össze, és még csak nem is hatékony.
> De itt-ott a logikát sem értem benne.
> Pl. ilyen helyeken:
> -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
> -A ufw-before-input -m conntrack --ctstate INVALID -j DROP
> és
> -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min 
> --limit-burst 10 -j RETURN
> -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG 
> --log-prefix "[UFW BLOCK] "
>
> Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?!
> Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd
> return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit
> egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy
> ctstate kikereséséhez megnéznie...
> Maaajd ezután dobja el a csomagot.
>
> Könyörgöm, miért?!
>
> Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még
> értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit
> magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még
> sokat tudna lendíteni egy ipset.
> De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál
> fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet.
> Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait,
> akkor ennek kifejezetten örülök! ;-)
>
> Üdv,
> Gyu
> _
> linux lista  -  linux@mlf.linux.rulez.org
> http://mlf.linux.rulez.org/mailman/listinfo/linux



-- 
Üdvözlettel:
Gerendás Zoltán
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: IP tables para

2018-05-11 bef zés Zoltán Gerendás 
Hali!

Elnézést ez előző levélért!

PÁSZTOR György  írta (2018. május 10. 22:59):
> Hi,
>
> "Zoltán Gerendás"  írta 2018-05-09 16:37-kor:
>> Az iptables-save kimenetét ide tettem:
>> https://pastebin.com/E3URP2KP
>>
> Ebben a kimenetben nem látom
>> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT
>> >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT
>
> Ezt a két szabályt.
>
> Lehet ez a gond? :)
>
> Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa
> rulesetet rak össze, és még csak nem is hatékony.
> De itt-ott a logikát sem értem benne.
> Pl. ilyen helyeken:
> -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
> -A ufw-before-input -m conntrack --ctstate INVALID -j DROP
> és
> -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min 
> --limit-burst 10 -j RETURN
> -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG 
> --log-prefix "[UFW BLOCK] "
>
> Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?!
> Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd
> return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit
> egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy
> ctstate kikereséséhez megnéznie...
> Maaajd ezután dobja el a csomagot.
>
> Könyörgöm, miért?!
>
> Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még
> értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit
> magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még
> sokat tudna lendíteni egy ipset.
> De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál
> fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet.
> Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait,
> akkor ennek kifejezetten örülök! ;-)
>
> Üdv,
> Gyu
> _
> linux lista  -  linux@mlf.linux.rulez.org
> http://mlf.linux.rulez.org/mailman/listinfo/linux



-- 
Üdvözlettel:
Gerendás Zoltán
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: IP tables para

2018-05-10 bef zés PÁSZTOR György 
Hi,

"Zoltán Gerendás"  írta 2018-05-09 16:37-kor:
> Az iptables-save kimenetét ide tettem:
> https://pastebin.com/E3URP2KP
> 
Ebben a kimenetben nem látom
> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT
> >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT

Ezt a két szabályt.

Lehet ez a gond? :)

Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa
rulesetet rak össze, és még csak nem is hatékony.
De itt-ott a logikát sem értem benne.
Pl. ilyen helyeken:
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
és
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min 
--limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix 
"[UFW BLOCK] "

Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?!
Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd
return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit
egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy
ctstate kikereséséhez megnéznie...
Maaajd ezután dobja el a csomagot.

Könyörgöm, miért?!

Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még
értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit
magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még
sokat tudna lendíteni egy ipset.
De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál
fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet.
Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait,
akkor ennek kifejezetten örülök! ;-)

Üdv,
Gyu
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: IP tables para

2018-05-09 bef zés Zoltán Gerendás 
Hello!

Az iptables-save kimenetét ide tettem:
https://pastebin.com/E3URP2KP

Hátha ez segít.

PÁSZTOR György  írta (2018. május 9. 14:16):
> Hali,
>
> "Zoltán Gerendás"  írta 2018-05-03 11:07-kor:
>> Adott Ubuntu, 4.15.0-20-generic #21-Ubuntu SMP kernel.
>> Fut egy proxy 8080-as porton.
>> ufw a tűzfal generáló
>>
>> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT
>> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT
>>
>> Megy is jól a proxy, de néha pár IP csomagot még is megfog
>>
>> IN=eth0 OUT= MAC=00:16:3e:00:01:f6:00:16:3e:01:00:6d:08
>> :00 SRC=192.168.2.2 DST=192.168.80.10 LEN=40 TOS=0x00 PREC=0x00 TTL=63
>> ID=25179 DF PROTO=TCP SPT=34032 DPT=8080 W$
>> (megy a 2.2 -es gépről a net!!)
>>
>> Hasonló egy másik gépen dnat -van (docker-be).
>> Jól megy a docker elérése kívülről, de néha pár csomagot szintén
>> blokkol az UFW szabály.
>>
>> Mi történhet itt?
>
> Úgy sokkal könnyebb ám, ha azt a szabályt is beidézed, ami a dropolást/
> logolást csinálja, nem csak azt, hogy szerinted melyik allow-nak kellett
> volna átengednie! ;-)
> Meg mondjuk azt, hogy melyik másik chain-ből van és milyen szabály alapján
> meghívva ez az ufw-user-input lánc. Ha eldobta, akkor valószínűleg ezen
> szabályig el sem jutott a vezérlés. Valószínűleg ez a logolt csomag nem
> matchelt annak a szabálynak a feltételeire, ahol a -j ufw-user-input volt.
> Vagy már korábban futott rá a log-drop -ra.
>
> Üdv,
> Gyu
> _
> linux lista  -  linux@mlf.linux.rulez.org
> http://mlf.linux.rulez.org/mailman/listinfo/linux



-- 
Üdvözlettel:
Gerendás Zoltán
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: IP tables para

2018-05-09 bef zés PÁSZTOR György 
Hali,

"Zoltán Gerendás"  írta 2018-05-03 11:07-kor:
> Adott Ubuntu, 4.15.0-20-generic #21-Ubuntu SMP kernel.
> Fut egy proxy 8080-as porton.
> ufw a tűzfal generáló
> 
> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT
> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT
> 
> Megy is jól a proxy, de néha pár IP csomagot még is megfog
> 
> IN=eth0 OUT= MAC=00:16:3e:00:01:f6:00:16:3e:01:00:6d:08
> :00 SRC=192.168.2.2 DST=192.168.80.10 LEN=40 TOS=0x00 PREC=0x00 TTL=63
> ID=25179 DF PROTO=TCP SPT=34032 DPT=8080 W$
> (megy a 2.2 -es gépről a net!!)
> 
> Hasonló egy másik gépen dnat -van (docker-be).
> Jól megy a docker elérése kívülről, de néha pár csomagot szintén
> blokkol az UFW szabály.
> 
> Mi történhet itt?

Úgy sokkal könnyebb ám, ha azt a szabályt is beidézed, ami a dropolást/
logolást csinálja, nem csak azt, hogy szerinted melyik allow-nak kellett
volna átengednie! ;-)
Meg mondjuk azt, hogy melyik másik chain-ből van és milyen szabály alapján
meghívva ez az ufw-user-input lánc. Ha eldobta, akkor valószínűleg ezen
szabályig el sem jutott a vezérlés. Valószínűleg ez a logolt csomag nem
matchelt annak a szabálynak a feltételeire, ahol a -j ufw-user-input volt.
Vagy már korábban futott rá a log-drop -ra.

Üdv,
Gyu
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux