Страница 1 из 1
Ниразу не friendly-scanner и iptables
Добавлено: 09 июн 2016, 13:04
mikelog
собственно в sngrep стал наблюдать
Код: Выделить всё
[ ] 702 OPTIONS 100@1.1.1.1 100@1.1.1.1 1 217.172.189.137:5081
ип-шники src меняются, дальше options не выходит дело
в iptables в INPUT разрешены пакеты только от хоста Трантелекома, дефолт полиси в INPUT DROP, вопрос, как такие вызовы могут появлятся?
сразу скажу что дальше eth который смотрит в мир пакеты не вылетят, маршрутов нет. XD но наличие такиой фигни при работаещей иптабле слегка смущает.
Re: Ниразу не friendly-scanner и iptables
Добавлено: 09 июн 2016, 13:09
Samael28
Так хоть настройки Iptables покажите
Re: Ниразу не friendly-scanner и iptables
Добавлено: 09 июн 2016, 20:14
gosha
хз как sngrep но tcpdump & ngrep дампят то что _ДО_ iptables.
Re: Ниразу не friendly-scanner и iptables
Добавлено: 09 июн 2016, 21:12
mikelog
Samael28 писал(а):Так хоть настройки Iptables покажите
Код: Выделить всё
hain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5080 STRING match "friendly-scanner" ALGO name bm TO 65535
2 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535
3 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5080 STRING match "friendly-scanner" ALGO name bm TO 65535
4 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 STRING match "friendly-scanner" ALGO name bm TO 65535
5 0 0 DROP all -- * * 209.239.115.233 0.0.0.0/0
6 0 0 DROP all -- * * 192.186.154.82 0.0.0.0/0
7 0 0 DROP all -- * * 62.138.7.200 0.0.0.0/0
8 0 0 DROP all -- * * 209.126.117.80 0.0.0.0/0
9 0 0 DROP all -- * * 216.52.3.136 0.0.0.0/0
10 0 0 DROP all -- * * 162.210.194.100 0.0.0.0/0
11 0 0 DROP all -- * * 209.126.119.16 0.0.0.0/0
12 0 0 DROP all -- * * 163.172.22.226 0.0.0.0/0
13 0 0 DROP all -- * * 209.126.102.153 0.0.0.0/0
14 0 0 DROP all -- * * 219.113.239.232 0.0.0.0/0
15 0 0 DROP all -- * * 104.243.32.210 0.0.0.0/0
16 0 0 DROP all -- * * 209.126.119.16 0.0.0.0/0
17 0 0 DROP all -- * * 104.243.32.210 0.0.0.0/0
18 0 0 DROP all -- * * 104.243.43.226 0.0.0.0/0
19 0 0 DROP all -- * * 209.222.103.106 0.0.0.0/0
20 0 0 DROP all -- * * 62.138.6.236 0.0.0.0/0
21 12128 679K ACCEPT all -- * * 127.0.0.1 127.0.0.1
22 34M 6465M ACCEPT all -- * * 10.195.136.0/22 0.0.0.0/0
23 8133K 1626M ACCEPT all -- * * 10.60.1.2 0.0.0.0/0
24 1417K 283M ACCEPT all -- * * ttk-ip 0.0.0.0/0
25 235 17860 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123 dpt:123
26 298 36633 ACCEPT all -- * * 10.70.0.0/16 0.0.0.0/0
27 11828 715K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 10/min burst 5 LOG flags 0 level 7 prefix `DROP Strangers: '
28 11910 732K DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Re: Ниразу не friendly-scanner и iptables
Добавлено: 10 июн 2016, 06:14
awsswa
но вообще то есть еще с пяток сканеров - и их тоже надо банить
Re: Ниразу не friendly-scanner и iptables
Добавлено: 10 июн 2016, 09:55
mikelog
так что DEFAULT policy стоит DROP и + правило INPUT from any to ANY DROP
но по всем DROP правилам нету матчей по friendly-scanner а SNgrep видит, вот что беспокоит
Re: Ниразу не friendly-scanner и iptables
Добавлено: 10 июн 2016, 12:21
Samael28
Мой кусок
Код: Выделить всё
if (search("friendly-scanner|sipvicious|sipcli*|vaxasip|sip-scan|iWar|sipsak")) {
Ну и да, самое правильное - работать только по доменам, а все, что IP в заголовках - банить.
Re: Ниразу не friendly-scanner и iptables
Добавлено: 12 июн 2016, 22:41
mikelog
только одно смущает, что по дропам пакеты не попадают...