• 16-01-2013, 17:39:51
    #1
    Arkadaşlar iptables ile neler yapabilceğim hakkında pek fazla bilgim yok. Onun için bilen kişilerden yardım alma gereği duyuyorum. Aşşağıdaki soruları cevaplayabilcek yiğitler arıyorum
    1. İptables'te kural limiti var mıdır? (120.000 adet ip adresi banlayabilir miyiz?)
    2. İptableste ban komutu kullanırken xx.xx.xx.xx/18 gibi ip blogları belirtiyoruz. Acaba bu 18 24 gibi slash (/) 'tan sonra koyduğumuz sayıların tam manası nedir? Örnekle açıklar mısınız?
    3. İptables ile belirlediğim 500 ip bloğu dışındakileri nasıl engellerim ? (veya iptables ACCEPT fonksiyonu ile 500 ip bloğuna izin verip ip banlama komutu ile 0.0.0.0/18 yapsam o iplerin dışındakiler mi giremez yoksa son fonksiyon mu etkili olur ?)
    4. İptables ile DROP yapsam o ip üzerinden artık hiç saldırı vs almaz mıyım ?

    Yukarıdaki sorulara ayrıntılı cevap verebilcekleri bekliyorum . Şimdiden teşekkürler...
  • 31-01-2013, 15:08:13
    #2
    Bildiğim kadarı ile yardımcı olmaya çalışayim

    İptables'te kural limiti var mıdır? (120.000 adet ip adresi banlayabilir miyiz?)
    iptables ın bir limiti yok sunucu donanımı ile ilgili bir konu bu ben basit bir makinada 2000 kadar rule kullandım bir sorun olmadı.

    İptables da ban komutu kullanırken xx.xx.xx.xx/18 gibi ip blogları belirtiyoruz. Acaba bu 18 24 gibi slash (/) 'tan sonra koyduğumuz sayıların tam manası nedir? Örnekle açıklar mısınız?
    http://www.subnetmask.info/ bu siteden ip hesaplaması yapabilirsiniz.
    diyelimki siz bir ip bloguna izin vermek istiyorsunuz izin vereceğiniz ip blogu da 1.1.1.0 bu durumda 1.1.1.0/24 derseniz 1.1.1.1 - 1.1.1.255 e kadar ip adresine izin vermiş olursunuz 24 bit vs.. hesaplamalarını verdiğim linkte bulabilirsiniz.

    İptables ile belirlediğim 500 ip bloğu dışındakileri nasıl engellerim ? (veya iptables ACCEPT fonksiyonu ile 500 ip bloğuna izin verip ip banlama komutu ile 0.0.0.0/18 yapsam o iplerin dışındakiler mi giremez yoksa son fonksiyon mu etkili olur ?)
    vericeğiniz ip bloglarına bağlı olarak rule sayınız düşer mesala 1.1.1.0 ip blogu 1.1.2.0 ve 1.1.3.0 gibiyse ip blolgarınız bu yukarıdaki 3 farklı ip blogu için

    /sbin/iptables -A kural -d serverip -p tcp --dport 80 -j ACCEPT -s 1.1.1.0/22
    şeklinde 3 ip blogunu yani 768 ip adresini tek seferde izin verebilirsin. yada
    /sbin/iptables -A kural -d serverip -p tcp --dport 80 -j DROP -s 1.1.1.0/22
    bloglayabilirsin senin yapman gereken şey belirli ipleri bloglıcakmısın yoksa sadece belirli iplere izinmi vericeksin?
    örneğin
    /sbin/iptables -A kural -d serverip -p tcp --dport 80 -j ACCEPT -s 1.1.1.0/22
    /sbin/iptables -A kural -d serverip -j DROP
    dersen 1.1.1.0/22 ip blogunun haricindeki kimse server a gelemez 1.1.1.0/22 ip blogundan da sadece 80 portuna gelebilirler.

    İptables ile DROP yapsam o ip üzerinden artık hiç saldırı vs almaz mıyım ?
    iptablesdan drop yapman server a o ip üzerinden erişim yapmasını engeller.fakat unutmaki makinan bu istekleri red edeceği için cpu vs.. gibi kaynaklardan az da olsa tüketicek yani çok büyük bir saldırıda ona göre bir donanım kullanman gerekir ben 2gb ramli 1 cpu lu bir makinada bir sürü saldırı aldım dahada down olduğunu görmedim.

    konu ile iligili ücret karışılı profesyönel destek almak istersen yardımcı olabilirim pm atabilirsin.

    kolay gelsin
  • 31-01-2013, 15:16:38
    #3
    Açıklamaların için teşekkür ederim. Bu konuyu açtıktan sonra 2 haftalık süreçte deneyip tecrübe kazanmaktan başka öğrenme imkanı olmadığını düşündüm. Ve tüm bu söylediklerimi uyguladım. Çoğunda da senin bahsettiğin gibi iyi donanım, cpu kasması gibi sorunlarla karşılaştım. Şunu öğrendim. İptables ile yurt dışına kapatmak imkansız. CPU zorlanıyor çok sağlam bir makina olması lazım + 300mbit saldırıda iptables hiç bir şey yapamadı. Yani iptables bir noktaya kadar etkili.

    Tüm açıklamalarını tek tek okudum teşekkür ederim. umarım konu benim dışımda diğer arkadaşlarada yardımcı olur.
  • 31-01-2013, 15:40:50
    #4
    sunucuoptimizasyon.com
    İptables sunucu ethernet kartı ile sunucu servisleri arasındaki noktadır.

    Süreç şöyle işler

    Router -> Switch -> Ethernet kartı -> İptables -> Webserver,Mysql, Diğer açık portlarda çalışan servisler

    İptables ile engellediğiniz istekler yine sunucuya ulaşır ethernetten geçer iptableste kalır içerdeki servislere ulaşamaz. Banladığınız ip adreslerini netstat çektiğinizde halen görebilirsiniz istek halen sunucuya ulaşıyordur ama servislere iletilmiyordur.

    İptablesin performansı büyük oranda ethernet kartının performansıyla ilgilidir, ethernet kartı üzerinden ne kadar fazla paket geçirebiliyorsa iptableste o kadar randımanlı çalışır.

    Kötü bir ethernet kartı mevcutsa saniyede işleyeceği paket sayısının üstünde paket geldiğinde gelen istekleri iptablese iletemez ve sunucu hattında satürasyon yaşanır.

    Bunun dışında ethernet kartından geçse bile iptablesin belli bir session sınırı vardır bu sınırı geçtiğinde iptablese hiç kural yazmasanız bile yine sıkıntılar yaşanabilir.

    Hat hedefli udp-icmp-syn saldırılarda iptables ile banlama yapmanız işe yaramaz, gelen yüksek paket sayısı hem ethernetten geçemeyebilir ethernetten geçse bile iptables sesssionlarını doldurup sunucuyu ulaşılamaz hale getirebiliriz, bu süreçte istekler ethernet kartına gelmeden router bazında yada router dan sonraki bir fiziksel firewall ile engellenebilir yada limitlenirse kirli trafik sunucuya ulaşmaz.
  • 31-01-2013, 17:39:42
    #5
    O zaman burdan çıkarttığım sonuç, iptablesi yanlış yapılandırırsak eldeki prinçten bile olabiliriz Peki portlara gelen trafiği nasıl engellerim. Atıyorum ben makinaya sadece ssh portundan giriş yapılmasını istiyorum. Ayrıca benim sistemlerimde ts3 kurulu başka da bir şey yok. yani sadece ssh giriş + ts3 için giriş olmalı.
    (diğer hiç bir porttan giriş olmasın)
    ssh portum 22
    ts3 için 9987 / 10011 / 3500

    Bide raw,rlogin,telnet girişlerini nasıl kapatabilirim ? Telneti els denen bir script ile kapatmayı başarmıştım . Ama onun yanında bir sürü işte dönüyordu onun için elsden soğudum. Tam olarak bu 3 girişi nasıl kapatabiliriz ? Cevaplar için teşekkürler...

    els => http://www.syslogs.org/els-easy-linux-security-script/
  • 31-01-2013, 17:42:28
    #6
    sunucuoptimizasyon.com
    Yada ''iptables e fazla güvenmemeliyiz'' olarakta yorumlayabiliriz.

    Port engellemek için aşağıdaki komutu kullanabilirsin.

    iptables -A INPUT -p tcp --dport 80 -j REJECT
  • 31-01-2013, 17:55:18
    #7
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    Yada ''iptables e fazla güvenmemeliyiz'' olarakta yorumlayabiliriz.

    Port engellemek için aşağıdaki komutu kullanabilirsin.

    iptables -A INPUT -p tcp --dport 80 -j REJECT
    yanlız portları tek tek engellemek sıkıntı yapmaz mı ? veya her port için ayrı kural oluşturmak beni zarara uğratmaz mı ?

    --R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 17:51:08 -->-> Daha önceki mesaj 17:45:20 --

    Tamam çözdüm.

    iptables -A INPUT -p tcp --dport 79:81 -j REJECT

    şeklinde 79,80,81 portlarını engellemiş oluyoruz. Şimdi bu port sayısının limitini araştırıyorum bulursam konu altından yazarım. Herkese yardımcı olsun

    --R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 17:55:18 -->-> Daha önceki mesaj 17:51:08 --

    Bir ip için 0:65535 aralığında port varmış ..

    ben kendi işim için ;

    iptables -A INPUT -p tcp --dport 0:21 -j REJECT
    iptables -A INPUT -p tcp --dport 23:3499 -j REJECT
    iptables -A INPUT -p tcp --dport 3501:9986 -j REJECT
    iptables -A INPUT -p tcp --dport 9988:10010 -j REJECT
    iptables -A INPUT -p tcp --dport 10012:65535 -j REJECT

    yapıyorum ve 22,3500,10011,9987 dışındaki tüm trafiği engellemiş oluyorum.