PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables HTTP



basti1985
25.02.13, 16:39
Hallo,
ich hab folgendes Problem:



iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 BLACKLIST all -- 0.0.0.0/0 0.0.0.0/0
2 fail2ban-courierauth tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995
3 fail2ban-proftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
4 fail2ban-ssh-ddos tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
5 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain BLACKLIST (1 references)
num target prot opt source destination
1 DROP all -- 134.0.23.211 0.0.0.0/0
3 RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-courierauth (1 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-proftpd (1 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-ssh (1 references)
num target prot opt source destination
1 DROP all -- 69.195.218.50 0.0.0.0/0
2 RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-ssh-ddos (1 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0

Auf dem Server (srv-01) läuft ein Nginx, der unter anderem auf
srv-01.meinedomain.de und zweitesub.meinedomain.de hört.

rufe ich nun srv-01.meinedomain.de auf wird alles schön geblockt.
bei zweitesub.meinedomain.de geht alles durch.
aber warum?
beide laufen über die gleiche IP.

OliverH
25.02.13, 17:49
Hallo,

was du da beschreibst kann so schlicht und ergreifend nicht sein.
Zeigen deine beiden Domains auf die selbe IP, so blockiert dein Paketfilter entweder beide, oder keine.

Die iptables Ausgabe oben scheint mir auch nichts bezüglich HTTP (Port 80) zu enthalten.
Prüf also bitte nochmal ob das ganze wirklich über die selbe IP-Adresse läuft und zeig uns dein vollständiges iptables-Regelwerk.

Gruß

Oli

basti1985
26.02.13, 09:37
HTTP ist in diesem zusammenhang vielleicht etwas falsch ausgedrückt, man sollte eben keine fragen 5 minuten vor Feierabend Posten ;)

Ich hab ein CMS was immer mal wieder mit falschen Parmetern gefüttert wird (vermutlich um es zu hacken), das ganze lass ich nun loggen und sieht in etwa so aus:


1.2.3.4;2013-02-26 09:15;project_id=3;menupkt not numeric or 0 [s,dnw18lkij9jimk'];/dessous/?menupkt=s,dnw18lkij9jimk%27;
1.2.3.4;2013-02-26 09:15;project_id=3;menupkt not numeric or 0 [s,dnw18lkij9jimk'];/dessous/?menupkt=s,dnw18lkij9jimk%27;


Diese IP schreib ich anschließend in die Chain BLACKLIST, die IP soll eben geblockt werden.
Mit dem oben beschriebenen phänomen.
Ferner ist dies das komplette IP-tables Regelwerk.
und ja es ist die selbe IP.

EDIT:
Jetzt klappts, irgendwo war noch eine interne Weiterleitung im cache.