web-dev-qa-db-ja.com

ipsetおよびiptables + fail2banを使用して、ロットまたは少数のIP範囲をブラックリストまたはホワイトリストに登録する方法

編集:

解決策を見つけたいという衝動が、ゆっくりではあるが着実に解決策に導くのに十分な場合があるのは驚くべきことです。また、明確にするために質問を読み直すことが多いほど、この「質問」は「単純な」質問の範囲や、このコミュニティから回答を得るという考えをはるかに超えていることに気付きます。

Iptablesの運用概念をますます理解するにつれて、この質問の構造を今後数時間以内に再ラップします。理解の過程で、私がこのコミュニティにすぐに提供し、この質問にリンクする、より具体的な質問もいくつか得られました。


一言で言えば:私の問題は、作成する適切なルールのセットを見つけることです。

  • 私自身のルール
  • fail2ban
  • 追加のDNSブラックリストは連携して機能しますが、「私のルール」は、私の国をsshでホワイトリストに登録し、他のすべての国をsshでブロックすることも意味します。[〜#〜] but [〜#〜]許可allブラックリストに登録されたもののセットを除く、DNSクエリの国/範囲/ IP。

数字で:

  • sshの場合:ホワイトリスト50の範囲[〜#〜]または[〜#〜]ブラックリスト約。 620.000の範囲(ipdeny.comなどで作成)
  • dNSのブラックリストエントリ:約。 140( 2ルールのセットスクリプト
  • 追加サービスの25 +/-ルール(以下を参照)

歌詞バージョン:ニーズに合ったソリューションの実装に苦労しています:シナリオは次のとおりです。私は(今のところDNSを想定しています)サーバーを持っています。 bind sshに加えて、sendmail、https、およびmuninを考慮する必要があります。

これは一般的に簡単に達成できました。さらに、世界中からの(d)dos攻撃に直面していたため、fail2banがインストールされました。私の主な目標は、サーバーを可能な限りロックダウンすることでした。

私のアイデアは、アクセスできるISPの可能な動的DNS割り当てに一致する、私の国の一部のIP範囲のみをホワイトリストに登録することでした。つまり、DSLとモバイルです。そうすれば、私は自分自身を締め出すことはありません。

ISPのすべてのネット範囲を調べた結果、次のスクリプト/ルールセットが作成されました。

#ports:
#  22: SSH (#4,#5) (ssh)
#  25: SMTP (#20) (outgoing, sendmail for f2b report)
#  53: DNS (!!#16!! see end of #16 as differs for ns1&2) (outgoing, bind)
# 443: HTTPS (#10) (outgoing, dns-blacklist update)
#4949: munin (#26) (outgoing, sending client stats to server)

# Modify this file accordingly for your specific requirement.
# http://www.thegeekstuff.com: http://www.thegeekstuff.com/scripts/iptables-rules
# 1. Delete all existing rules
#iptables -F

# 2. Set default chain policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# 4. Allow ALL incoming SSH
#iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth1 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

# 5. Allow incoming SSH only from a sepcific network (kabelBW/Unitymedia, Telekom, Accelerated)
# note: Using '-I' instead of '-A' to insert to top of INPUT chain to put rule in front of fail2ban!
iptables -A INPUT -i eth0 -p tcp -s 5.10.48.0/20    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 5.10.160.0/19   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 5.56.176.0/20   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 5.56.192.0/18   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 5.146.0.0/15    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 5.158.128.0/18  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 24.134.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 31.16.0.0/14    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 37.4.0.0/15     --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 37.24.0.0/16    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 37.49.0.0/17    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 37.114.96.0/19  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 37.201.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 37.209.0.0/17   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 46.5.0.0/16     --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 46.223.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 46.237.192.0/18 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 46.252.128.0/20 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 62.143.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 77.20.0.0/14    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 78.42.0.0/15    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 78.94.0.0/16    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 80.69.96.0/20   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 81.210.128.0/17 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 82.211.0.0/18   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 82.212.0.0/18   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 83.169.128.0/18 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 84.200.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 84.201.0.0/18   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 85.216.0.0/17   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 88.134.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 88.152.0.0/15   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 91.64.0.0/14    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 91.89.0.0/16    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 92.50.64.0/18   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 94.79.128.0/18  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 95.88.0.0/14    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 95.208.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 95.222.0.0/15   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 109.90.0.0/15   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 109.192.0.0/15  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 130.180.0.0/17  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 134.3.0.0/16    --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 146.52.0.0/16   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 149.172.0.0/16  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 176.198.0.0/15  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 178.24.0.0/14   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 178.200.0.0/14  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 188.192.0.0/14  --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 217.8.48.0/20   --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

service fail2ban restart


# 10. Allow outgoing HTTPS
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

# 12. Ping from inside to outside
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# 13. Ping from outside to inside
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

# 14. Allow loopback access
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# 16. Allow outbound DNS
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

#Allow inbound DNS

iptables -A INPUT -p udp -s 0/0 --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport 53 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -d 0/0 --dport 53 -m state --state ESTABLISHED -j ACCEPT


# 20. Allow Sendmail or Postfix
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

# 26. Allow Munin Stats
iptables -A INPUT -p tcp --dport 4949 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 4949 -j ACCEPT

service munin-node restart
sh /root/update_domain_blacklist.sh

ルールセット#10の前にfail2banを再起動すると、iptableからパージされた後にチェーンが正しく(再)セットアップされるようになります(スクリプトの開始時に-Fでフラッシュされます。同じことがmuninにも当てはまります。例外ルールを適用した後に再起動されます)。

/etc/rc.localを介してルールを適用するつもりです。これは、fail2banとmuninのチェーンがすでに作成されていることを意味します。

私が達成したいファイアウォールチェックフローは次のとおりです。要求はDNSですか? ->(a); ssh? ->(b);私の他のサービスの1つ? ->(c);他に何か? ->(d):

  • (a):ブラックリストに載っていない場合はDNSブラックリストスクリプトを提供する
  • (b):ブラックリストに登録されていない場合はサーブORネット範囲セットに従ってホワイトリストに登録されている場合)
  • (c):私の定義したルールに従ってサーブ
  • (d):DROP/TARPIT /その他のベストプラクティス
  • (b)の場合、さらにfail2banを渡します

問題上記のルール:

  • fail2banはホワイトリストチェックの前に開始します-良い私のssh部分、悪い私のdns部分:私の推測

次に、ipsetを使用して、50の範囲を除く「全世界」をブロック/ブラックリストに登録しようとしました。理論的には可能ですが、620kの範囲の解析は10分以上続きます。操作をキャンセルして、ホワイトリストの範囲に戻りました。次のアイデア:50の範囲にipsetを使用し、sshのリストのinverseをブロック/ブラックリストに追加します。

!/bin/bash
#Script to process ip ranges to ban using IPSet and IPTables

# 10. Allow outgoing HTTPS
iptables -I OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

# 12. Ping from inside to outside
iptables -I OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -I INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# 14. Allow loopback access
iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT

# 16. Allow outbound DNS
iptables -I OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -I INPUT -p udp -i eth0 --sport 53 -j ACCEPT

#Allow inbound DNS
iptables -I INPUT -p udp -s 0/0 --sport 1024:65535 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -p udp --sport 53 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -I INPUT -p udp -s 0/0 --sport 53 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -p udp --sport 53 -d 0/0 --dport 53 -m state --state ESTABLISHED -j ACCEPT

# 20. Allow Sendmail or Postfix #to mail.awib.it (82.211.19.134)
iptables -I OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -I INPUT -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

# 26. Allow Munin Stats
iptables -I INPUT -p tcp --dport 4949 -j ACCEPT
iptables -I OUTPUT -p tcp --sport 4949 -j ACCEPT

#iptables -I OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
ipset create countryblock hash:net
while read line; do ipset add countryblock $line; done < blocklist.txt
iptables -A INPUT -m set ! --match-set countryblock src -j DROP

一方、「blocklist.txt」には、ホワイトリストに登録される50の範囲、またはブラックリストに登録される範囲の逆が含まれています。しかし、そのセットの逆は、すべてのDNSトラフィックがブロックされることなども意味します...これは私を狂わせます! :-D

しかし、何らかの理由で、サーバーにまったくアクセスできないか、その逆が機能しませんでした(sshプロンプトを確認するためだけにいくつかのweb2sshアプレットを試しました)。

また、その構成に対応するfail2bancreateactionルール定義が見つかりました。しかし、オーバーヘッドを減らすために、私はmuninとf2bのデフォルトのルールをそのままにして、必要な変更を自分のルールとおそらくdns-blacklistスクリプトに適用したいと思っています。

この質問/リクエストは最も簡単なものではないかもしれないことを私は知っています、そしてあなたはなぜ単にfail2banを使用しないのかと尋ねるかもしれませんか?疑わしいアクションがあるかどうかを知りたいので、ブロックされるホストレポートは素晴らしいです。すべての外部ホストにこれを設定したくはありませんが(10台を超えるサーバーでfail2banを実行しているため、10倍になります)。

別のアプローチは、すべてのトラフィックを処理する専用のファイアウォールサーバー/ルーターです。しかし、これはかなり複雑なルール設定であり、愚かな設定ミスやルールの誤りなどが原因で、誤ってすべてのサーバーをロックアウトしたくありません。また、これは、現在10台のサーバーすべてに分割されている無料のトラフィックを超えます。

こっけいな洞察力のある友人が、ルールを正しく並べ替えるのを手伝ってくれることを願っています。

この質問を不必要に埋める前に、私は現在保留中であり、要求に応じて情報を提供しています。

PS:評判が悪いために作成できないため、誰かが「ipset」タグを追加できる可能性があります。ありがとう!

6
little_endian

ひどく複雑に見えます...

sshdmuninを別のポートに移動するだけで、セキュリティとパフォーマンスに大きな価値が見つかると思います。

デフォルトと一致しないポートでこれらのサービスを実行すると、ブルートフォース/ dosトラフィックのほとんどが抑制されます。その後、Fail2banは外れ値を検出できるはずです。

customポートに移動すると、基本的に次のものが作成されます。

iptables -A "Anyone that doesn't know the correct ssh port" -j DROP

ポート22への接続の試行をログに記録することはできますが、ディスク領域のより良い使用法を見つけることができると思います。

1
Daniel Widrick
ipset create banned_hosts hash:net family inet hashsize 524288 maxelem 800000 counters comment
ipset create whitelist hash:net family inet hashsize 524288 maxelem 800000 counters comment

iptables -I INPUT 1 -m set --match-set banned_nets src -j DROP
iptables -I INPUT 2 -m set --match-set whitelist src -j ACCEPT

ipset add banned_hosts 171.248.31.131
ipset add banned_hosts 191.185.207.16
ipset add banned_hosts 45.247.22.251
ipset add banned_hosts 82.98.162.90
ipset add banned_hosts 125.227.181.216
ipset add banned_hosts 122.117.163.44

すべてのipsetを保存します

ipset save >all.txt

すべてのセットをロード

ipset load <all.txt
0
cybernard