PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zu IPTables - IP droppen!?



DaSilva
10.11.08, 15:57
Ich bekomme derzeit auf einem Server extrem viel input von einem gewissen "h820001.serverkompetenz.net" auf Port 8080.
Um dies zu stoppen habe ich versucht die Verbindung droppen zu lassen.
"iptables -L" sagt dazu:


Chain INPUT (policy ACCEPT)
target prot opt source destination
LOG 0 -- anywhere anywhere LOG level debug prefix `BANDWIDTH_IN:'
DROP 0 -- h820001.serverkompetenz.net anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG 0 -- anywhere anywhere LOG level debug prefix `BANDWIDTH_OUT:'
LOG 0 -- anywhere anywhere LOG level debug prefix `BANDWIDTH_IN:'

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOG 0 -- anywhere anywhere LOG level debug prefix `BANDWIDTH_OUT:'


Jetzt meine Frage dazu:

Ist meine Einstellung falsch oder liegt es daran, dass die Verbindung noch aufgebaut ist und erst unterbrochen werden muss damit IPTables greift?
Was muss ich machen damit die Verbindung endlich (dauerhaft) abbricht?
Danke.

asi_dkn
10.11.08, 16:43
Also HTTP hat keine dauerhaften Verbindungen, das sollte nicht das Problem sein... ich sehs grad nicht ob das so stimmt wie's da steht... kannst du evtl. mal kurz die Zeile zeigen welche du eingetippst hast?

P17
10.11.08, 18:10
Zum einen würde ich nicht droppen, sondern rejecten, zum anderen würde ich nicht loggen. Speicherplatz ist teuer.

iptables -A INPUT -p tcp -s [ip] --dport 8080 -j REJECT --reject-with tcp-reset

DaSilva
10.11.08, 22:11
Danke, werde es mal testen.
Kann man auch DNS-Namen (wie oben) benutzen oder nur IPs?

P17
10.11.08, 22:22
Hostnamen gehen auch, aber

Address can be either a network name, a
hostname (please note that specifying any name to be resolved
with a remote query such as DNS is a really bad idea), a network
IP address (with /mask), or a plain IP address.

eule
11.11.08, 08:48
Oder man schickt eine freundliche Mail mit der Bitte um klaerung der Sache an den Vermieter der Kiste.
Entsprechende Logs nicht vergessen.

marce
11.11.08, 08:55
haben wir auch schon öfters gemacht - sowohl per Mail als auch per Anruf. Jedesmal war dann nach kurzer Zeit der Spuk vorbei und die andere Kiste z.T. nicht mal mehr per Ping zu erreichen :-)

DaSilva
11.11.08, 10:49
Ich brauche noch mal eure Hilfe.
Ich habe den Befehl von P17 ausgeführt aber wie im Screenshot zu sehen ist weiterhin die Verbindung aktiv und zieht ununterbrochen Daten.
IPTables scheint daraus auch automatisch einen DNS-Eintrag zu machen.
Was soll ich tun damit das endlich aufhört? 100GB Traffic dadurch innerhalb der letzen 36 Stunden ist einfach zu viel!
Mail schicke ich noch raus.
Danke.

EDIT: Habe jetzt mit tcpkill die Verbindung unterbrochen und da folgende Ergebnisse bekommen:

81.169.184.56:8080 > 85.131.239.15:59078: R 2334544236:2334544236(0) win 0
81.169.184.56:8080 > 85.131.239.21:45585: R 2340795480:2340795480(0) win 0

Die beiden IPs habe ich jetzt auch in IPTables eingetragen und hoffe es ist jetzt Schluss damit.
Was soll ich machen wenn nicht?

EDIT2: Kaum habe ich tcpkill beendet besteht schon wieder die Verbindung. Wie kann das sein und was kann tun?

asi_dkn
11.11.08, 17:07
Also soweit ich das sehe hat der Server nur eine IP:


$ nslookup h820001.serverkompetenz.net

Non-authoritative answer:
Name: h820001.serverkompetenz.net
Address: 81.169.184.56

Und mach mal ne WHOIS Abfrage, dann siehst du auch gleich wem die Domain gehört und wo du dich zu melden hast. Anrufen, nachfragen.

zyrusthc
11.11.08, 18:11
Bei mir ist immer Ruhe nach...

iptables -A INPUT -s $IP -j DROP
iptables -A OUTPUT -d $IP -j DROP


Greeez Oli

helmeloh
11.12.08, 02:41
Mit zyrusthc's Regel und 81.0.0.0/16 kannst du gleich das ganze StratoNet für alle Ports aussperren. ;-)
Nein, Spaß beiseite, ich wollte nur anmerken, dass nach einem Neustart die Regeln wieder weg sind, außer man speichert sie in einem Startscript, denn auf das habe ich manchmal vergessen.
Ich teste übrigens immer mit mit einem online tool, HTML-Validator oder so etwas, wenn ich eine neue Regel setze und beobachte dabei die log.
.htaccess ist aber für mich meist ausreichend, iptables brauche ich daher nur selten.

HirschHeisseIch
11.12.08, 10:41
.htaccess zieht nur bei nem Web-Server, und wenn auch über diesen die Daten laufen.
Bei ner DDOS-Attacke auf nen beliebigen Dienst wirst damit nicht glücklich. ;)
Mit dem Rest hast Recht. Iptables-Regeln halten nur bis zum nächsten Reboot.

Edit:
Ach ja. Der HTML-Validator hilft auch nur bedingt. Wieder das Problem, dass das ganze auf den httpd beschränkt ist, und ggf nicht aus dem passenden IP-Bereich kommt.

eule
11.12.08, 11:32
Mit zyrusthc's Regel und 81.0.0.0/16 kannst du gleich das ganze StratoNet für alle Ports aussperren. ;-)

81.0.0.0/16 scheint mir nicht Strato zu sein.

helmeloh
13.12.08, 16:40
@HirschHeisseIch Ist mir klar, aber ich habe ja gesagt für meine Zwecke, also für lästige Deppenklicker (Klickspammer) reicht die htaccess völlig. Ein System absichern kann man damit natürlich nicht. ;-)