Сценарий оболочки для запрета IP

Question 1

Часть дюйм/с открывает тысячи соединений моего сервера. У меня есть сервер Ubuntu 14. Я проверяю общее использование соединений после команды:

netstat - | grep tcp | awk '{печатают 5$}' |-f 1-d сокращения: | вид | uniq-c | вид-n

Затем я использую после правила iptables заблокировать IP преступника.

iptables-I ВВОДЯТ 1 с x.x.x.x-j ОТБРАСЫВАНИЕ

Это работает весь штраф, и заблокируйте IP-адрес. Однако я не могу остаться 24/7 онлайн для контроля сервера. Я задавался вопросом, существует ли какой-либо Сценарий оболочки, я могу использовать, чтобы сделать это автоматически? Например, если IP открывает больше чем X количества соединений когда-либо, это должно быть, автоматически запрещаются вышеупомянутым iptables правило.

Question 2

Возможная альтернатива - идентификация и решение проблемных IP-адресов всех в наборе правил iptables с помощью модуля recent. Проблема с этим методом - ограничение по умолчанию 20, Поэтому необходимо либо отклониться от значений по умолчанию, либо создать счетчики переноса более высокого уровня для достижения более высокой точки запуска.

Нижеприведенный пример из моего набора правил iptables, и будет запрещать ip-адрес чуть более чем на 1 день, если он создаст 80 новых TCP-соединений на 80 порту менее чем за 12 минут. Попадая в список плохих парней, любая попытка соединения сбросит счетчик 1 дня на 0. Этот метод может пойти на максимум 400 хитов, прежде чем потребуется расширение на другой перенос (и я протестировал другую переносную цепь). Обратите внимание, что код в том виде, в котором он размещен, имеет инфраструктуру, которая будет использоваться только для запрета на длительное время при наличии нескольких триггеров с более коротким временем срабатывания. В настоящее время я установил только запрет на длительное время на первом триггере.

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in4
#
# A NEW Connection on port 80 part 4.
#
# multiple hits on the banned list means you get a one day ban.
# (I re-load the firewall rule set often, so going longer makes
# little sense.)
#
# Custom tables must exist before being referenced, hence the order
# of these sub-toutines.
#
# Place holder routine, but tested. Logs if a day ban would have
# been activated.
#
$IPTABLES -N http-new-in4
#$IPTABLES -A http-new-in4 -m recent --set --name HTTP_BAN_DAY

$IPTABLES -A http-new-in4 -j LOG --log-prefix "DAY80:" --log-level info
$IPTABLES -A http-new-in4 -j DROP

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in3
#
# A NEW Connection on port 80 part 3.
#
# carry forward to the actual banned list:
# Increment this count. Leave the previous count.
#
# Custom tables must exist before being referenced, hence the order
# of these sub-toutines.
#
$IPTABLES -N http-new-in3
$IPTABLES -A http-new-in3 -m recent --remove --name HTTP_02
$IPTABLES -A http-new-in3 -m recent --update --hitcount 1 --seconds 86400 --name HTTP_BAN -j http-new-in4
$IPTABLES -A http-new-in3 -m recent --set --name HTTP_BAN

$IPTABLES -A http-new-in3 -j LOG --log-prefix "BAN80:" --log-level info
$IPTABLES -A http-new-in3 -j DROP

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in2
#
# A NEW Connection on port 80 part 2.
#
# carry forward from previous max new connections per unit time:
# Increment this count and clear the lesser significant count.
#
$IPTABLES -N http-new-in2
$IPTABLES -A http-new-in2 -m recent --remove --name HTTP_01
$IPTABLES -A http-new-in2 -m recent --update --hitcount 3 --seconds 720 --name HTTP_02 -j http-new-in3
$IPTABLES -A http-new-in2 -m recent --set --name HTTP_02

$IPTABLES -A http-new-in2 -j LOG --log-prefix "CARRY80:" --log-level info
$IPTABLES -A http-new-in2 -j ACCEPT

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in
#
# A NEW Connection on port 80:
#
$IPTABLES -N http-new-in

echo Allowing EXTERNAL access to the WWW server

# . check the static blacklist.
#
# http related
$IPTABLES -A http-new-in -i $EXTIF -s 5.248.83.0/24 -j DROP
... delete a bunch on entries ...
$IPTABLES -A http-new-in -i $EXTIF -s 195.211.152.0/22 -j DROP
$IPTABLES -A http-new-in -i $EXTIF -s 198.27.126.38 -j DROP

# . check the dynamic banned list
#
# The 1 Hour banned list (bumped to more than a day):
$IPTABLES -A http-new-in -m recent --update --seconds 90000 --name HTTP_BAN --rsource -j LOG --log-prefix "LIM80:" --log-level info
$IPTABLES -A http-new-in -m recent --update --seconds 90000 --name HTTP_BAN --rsource -j DROP

# A generic log entry. Usually only during degugging
#
#$IPTABLES -A http-new-in -j LOG --log-prefix "NEW80ALL:" --log-level info

# Dynamic Badguy List. Least significant hit counter.  Detect and DROP Bad IPs that do excessive connections to port 80.
#
$IPTABLES -A http-new-in -m recent --update --hitcount 20 --seconds 240 --name HTTP_01 -j http-new-in2
$IPTABLES -A http-new-in -m recent --set --name HTTP_01

$IPTABLES -A http-new-in -j LOG --log-prefix "NEW80:" --log-level info
$IPTABLES -A http-new-in -j ACCEPT

... a bunch of stuff not included here

# Allow any related traffic coming back to the server in.
#
#
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT

... the above is needed before the below ...

# If required, go to NEW HTTP connection sub-routine
#
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 80 -j http-new-in

Question 3

Question 4

Прежде всего, не изобретайте колесо заново. Именно для этого и существуют denyhosts:

   DenyHosts  is a python program that automatically blocks ssh attacks by
   adding entries to /etc/hosts.deny.  DenyHosts will  also  inform  Linux
   administrators  about  offending  hosts,  attacked users and suspicious
   logins.

Насколько я знаю, denyhosts только для соединений ssh, но есть еще и fail2ban, который работает практически со всем:

   Fail2Ban consists of a client, server and configuration files to  limit
   brute force authentication attempts.

   The  server  program  fail2ban-server is responsible for monitoring log
   files and issuing ban/unban commands.  It  gets  configured  through  a
   simple  protocol  by fail2ban-client, which can also read configuration
   files and issue corresponding configuration commands to the server.

Оба доступны в репозиториях:

sudo apt-get install denyhosts fail2ban

Вы также можете скриптировать это, если хотите. Что-то вроде:

#!/usr/bin/env sh
netstat -an | 
    awk -vmax=100 '/tcp/{split($5,a,":"); if(a[1] > 0 && a[1]!="0.0.0.0"){c[a[1]]++}}
    END{for(ip in c){if(c[ip]>max){print ip}}}' |
        while read ip; do iptables -I INPUT 1 -s "$ip" -j DROP; done

awkawk извлечёт IP-адреса, пересчитает их и распечатает только те, которые появляются более макс раз (здесь -vmax=100, поменяйте соответственно). Затем IP-адреса передаются в некоторый цикл, который выполняет соответствующее правило iptables.

Чтобы запустить это 24/7, я бы сделал cronjob, который запускает команду выше каждую минуту или около того. Добавьте эту строку в /etc/crontab

* * * * * root /path/to/script.sh

Doug Smythies · Answer 1 · 23 November 2019 в 05:35

Возможная альтернатива - идентификация и решение проблемных IP-адресов всех в наборе правил iptables с помощью модуля recent. Проблема с этим методом - ограничение по умолчанию 20, Поэтому необходимо либо отклониться от значений по умолчанию, либо создать счетчики переноса более высокого уровня для достижения более высокой точки запуска.

Нижеприведенный пример из моего набора правил iptables, и будет запрещать ip-адрес чуть более чем на 1 день, если он создаст 80 новых TCP-соединений на 80 порту менее чем за 12 минут. Попадая в список плохих парней, любая попытка соединения сбросит счетчик 1 дня на 0. Этот метод может пойти на максимум 400 хитов, прежде чем потребуется расширение на другой перенос (и я протестировал другую переносную цепь). Обратите внимание, что код в том виде, в котором он размещен, имеет инфраструктуру, которая будет использоваться только для запрета на длительное время при наличии нескольких триггеров с более коротким временем срабатывания. В настоящее время я установил только запрет на длительное время на первом триггере.

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in4
#
# A NEW Connection on port 80 part 4.
#
# multiple hits on the banned list means you get a one day ban.
# (I re-load the firewall rule set often, so going longer makes
# little sense.)
#
# Custom tables must exist before being referenced, hence the order
# of these sub-toutines.
#
# Place holder routine, but tested. Logs if a day ban would have
# been activated.
#
$IPTABLES -N http-new-in4
#$IPTABLES -A http-new-in4 -m recent --set --name HTTP_BAN_DAY

$IPTABLES -A http-new-in4 -j LOG --log-prefix "DAY80:" --log-level info
$IPTABLES -A http-new-in4 -j DROP

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in3
#
# A NEW Connection on port 80 part 3.
#
# carry forward to the actual banned list:
# Increment this count. Leave the previous count.
#
# Custom tables must exist before being referenced, hence the order
# of these sub-toutines.
#
$IPTABLES -N http-new-in3
$IPTABLES -A http-new-in3 -m recent --remove --name HTTP_02
$IPTABLES -A http-new-in3 -m recent --update --hitcount 1 --seconds 86400 --name HTTP_BAN -j http-new-in4
$IPTABLES -A http-new-in3 -m recent --set --name HTTP_BAN

$IPTABLES -A http-new-in3 -j LOG --log-prefix "BAN80:" --log-level info
$IPTABLES -A http-new-in3 -j DROP

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in2
#
# A NEW Connection on port 80 part 2.
#
# carry forward from previous max new connections per unit time:
# Increment this count and clear the lesser significant count.
#
$IPTABLES -N http-new-in2
$IPTABLES -A http-new-in2 -m recent --remove --name HTTP_01
$IPTABLES -A http-new-in2 -m recent --update --hitcount 3 --seconds 720 --name HTTP_02 -j http-new-in3
$IPTABLES -A http-new-in2 -m recent --set --name HTTP_02

$IPTABLES -A http-new-in2 -j LOG --log-prefix "CARRY80:" --log-level info
$IPTABLES -A http-new-in2 -j ACCEPT

#######################################################################
# USER DEFINED CHAIN SUBROUTINES:
#
# http-new-in
#
# A NEW Connection on port 80:
#
$IPTABLES -N http-new-in

echo Allowing EXTERNAL access to the WWW server

# . check the static blacklist.
#
# http related
$IPTABLES -A http-new-in -i $EXTIF -s 5.248.83.0/24 -j DROP
... delete a bunch on entries ...
$IPTABLES -A http-new-in -i $EXTIF -s 195.211.152.0/22 -j DROP
$IPTABLES -A http-new-in -i $EXTIF -s 198.27.126.38 -j DROP

# . check the dynamic banned list
#
# The 1 Hour banned list (bumped to more than a day):
$IPTABLES -A http-new-in -m recent --update --seconds 90000 --name HTTP_BAN --rsource -j LOG --log-prefix "LIM80:" --log-level info
$IPTABLES -A http-new-in -m recent --update --seconds 90000 --name HTTP_BAN --rsource -j DROP

# A generic log entry. Usually only during degugging
#
#$IPTABLES -A http-new-in -j LOG --log-prefix "NEW80ALL:" --log-level info

# Dynamic Badguy List. Least significant hit counter.  Detect and DROP Bad IPs that do excessive connections to port 80.
#
$IPTABLES -A http-new-in -m recent --update --hitcount 20 --seconds 240 --name HTTP_01 -j http-new-in2
$IPTABLES -A http-new-in -m recent --set --name HTTP_01

$IPTABLES -A http-new-in -j LOG --log-prefix "NEW80:" --log-level info
$IPTABLES -A http-new-in -j ACCEPT

... a bunch of stuff not included here

# Allow any related traffic coming back to the server in.
#
#
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT

... the above is needed before the below ...

# If required, go to NEW HTTP connection sub-routine
#
$IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 80 -j http-new-in

terdon · Answer 2 · 23 November 2019 в 05:35

Прежде всего, не изобретайте колесо заново. Именно для этого и существуют denyhosts:

   DenyHosts  is a python program that automatically blocks ssh attacks by
   adding entries to /etc/hosts.deny.  DenyHosts will  also  inform  Linux
   administrators  about  offending  hosts,  attacked users and suspicious
   logins.

Насколько я знаю, denyhosts только для соединений ssh, но есть еще и fail2ban, который работает практически со всем:

   Fail2Ban consists of a client, server and configuration files to  limit
   brute force authentication attempts.

   The  server  program  fail2ban-server is responsible for monitoring log
   files and issuing ban/unban commands.  It  gets  configured  through  a
   simple  protocol  by fail2ban-client, which can also read configuration
   files and issue corresponding configuration commands to the server.

Оба доступны в репозиториях:

sudo apt-get install denyhosts fail2ban

Вы также можете скриптировать это, если хотите. Что-то вроде:

#!/usr/bin/env sh
netstat -an | 
    awk -vmax=100 '/tcp/{split($5,a,":"); if(a[1] > 0 && a[1]!="0.0.0.0"){c[a[1]]++}}
    END{for(ip in c){if(c[ip]>max){print ip}}}' |
        while read ip; do iptables -I INPUT 1 -s "$ip" -j DROP; done

awkawk извлечёт IP-адреса, пересчитает их и распечатает только те, которые появляются более макс раз (здесь -vmax=100, поменяйте соответственно). Затем IP-адреса передаются в некоторый цикл, который выполняет соответствующее правило iptables.

Чтобы запустить это 24/7, я бы сделал cronjob, который запускает команду выше каждую минуту или около того. Добавьте эту строку в /etc/crontab

* * * * * root /path/to/script.sh

Сценарий оболочки для запрета IP

2 ответа

Другие вопросы по тегам:

Похожие вопросы: