malburg
15.11.04, 22:27
Hallo,
ich hab hier einen rechner mit verschiedenen regeln (die bestimmte ports freigeben) und die funktionieren auch sehr gut.
jetzt wollte ich aber alle packet, die auf den anderen ports aufschlagen mit loggen
kein problem mit
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j LOG --log-prefix "NEW CONNECT TCP => " --log-tcp-options --log-ip-options --log-level 5
geht es.
jetzt kann sich jeder denken, das da die logfiles schnell voll werden und da hab ich mir gedacht, das ich das ganze mal limitiere
auch das ist kein prob.
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "NEW CONNECT TCP => " --log-tcp-options --log-ip-options --log-level 5
so, jetzt aber das problem.
nehmen wir mal an, das 2 oder 3 leute einen portscan machen und den starten sie im abstand von 10 sekunden und (angenommen) der port scan dauert auch nur 1 minute - dann ist es theoretisch möglich, das der 2 oder der 3 portscanner nicht mehr geloggt wird, weil das burst/limit erreicht ist.
meine frage nun:
ist es möglich, das limit/burst auf die unterschiedlichen ips anzuwenden ?
also. zb. das IP1 und IP2 und IP 3 bei einem portscan 2 einträge im logfile bekommen und dann die limittierung greift.
ich hab auch keine hemmungen den kernel zu patchen und hatte es auch schon mit connlimit probiert, doch ohne erfolg.
thx im vorraus
malburg
ich hab hier einen rechner mit verschiedenen regeln (die bestimmte ports freigeben) und die funktionieren auch sehr gut.
jetzt wollte ich aber alle packet, die auf den anderen ports aufschlagen mit loggen
kein problem mit
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j LOG --log-prefix "NEW CONNECT TCP => " --log-tcp-options --log-ip-options --log-level 5
geht es.
jetzt kann sich jeder denken, das da die logfiles schnell voll werden und da hab ich mir gedacht, das ich das ganze mal limitiere
auch das ist kein prob.
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -m limit --limit 2/m --limit-burst 2 -j LOG --log-prefix "NEW CONNECT TCP => " --log-tcp-options --log-ip-options --log-level 5
so, jetzt aber das problem.
nehmen wir mal an, das 2 oder 3 leute einen portscan machen und den starten sie im abstand von 10 sekunden und (angenommen) der port scan dauert auch nur 1 minute - dann ist es theoretisch möglich, das der 2 oder der 3 portscanner nicht mehr geloggt wird, weil das burst/limit erreicht ist.
meine frage nun:
ist es möglich, das limit/burst auf die unterschiedlichen ips anzuwenden ?
also. zb. das IP1 und IP2 und IP 3 bei einem portscan 2 einträge im logfile bekommen und dann die limittierung greift.
ich hab auch keine hemmungen den kernel zu patchen und hatte es auch schon mit connlimit probiert, doch ohne erfolg.
thx im vorraus
malburg