1. Cześć Gość. Przeglądasz forum dzięki firmie QNAP oraz zespołowi QNAP Club Polska.

Blokowanie wielu IP z Rosji, Chin, Tajwanu itp.

Dyskusja w 'Firewall' rozpoczęta przez użytkownika crayo, 29 Lipiec 2011.

Ładowanie...
  1. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
    Witam,

    jestem tu nową osobą aczkolwiek forum przeglądam od początku zakupu synka.
    Ostanio zauważyłem próby włamania na moją maszynę - Blokowanie IP wykazuje że 2 - 3 razy dziennie w ciągu niecałej minuty ktoś próbuje się wstrzelić z około 20 róznych IP.
    Dotęp do synka jest przez DMZ na router'ze.

    Czy można w jakiś sposób zablokować takie ataki podając zakresy IP (na podstawie blacklist) z krajów typu Rosja czy Chiny ?

    pozdr.

    Krzychu
     
  2. grzegorzsa
    Offline

    grzegorzsa Network Architect Q's Professional

    Dołączył:
    27 Wrzesień 2010
    Wiadomości:
    542
    Local Time:
    14:17
    Oceny:
    +0 / 0 / -0
    Followers:
    1
    Synology:
    DS710+, DS411+
    Włącz automatyczne blokowanie IP w DS. np. 5 nieudanych prób w ciągu 5 minut i powinno pomóc.
     
  3. mikhnal
    Offline

    mikhnal Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Z mojego doświadczenia pomaga zmiana domyślnych portów wszystkich usług: FTP, SSH, dostęp do DSM, itp. na jakieś tylko Tobie znane.
     
  4. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
    Mam załączone 2 próby w ciągu 5 mniut - co więcej nie zwalniam zablokowanych IP a i tak codziennie mam 2-3 próby masowego włamania z różnych IP.
     
  5. grzegorzsa
    Offline

    grzegorzsa Network Architect Q's Professional

    Dołączył:
    27 Wrzesień 2010
    Wiadomości:
    542
    Local Time:
    14:17
    Oceny:
    +0 / 0 / -0
    Followers:
    1
    Synology:
    DS710+, DS411+
    2-3 próby to raczej nie masowe próby ;) Po kilku tygodniach lista odpowiednio się zapełni i już...
     
  6. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
    Tylko że problem dotyczy WWW - czyli po tego co otrzymujesz po podaniu adresu w DDNS - po standardzie zawsze skieruje Cię na konkretyny port - w tym wypadku 5000
     
  7. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
    Może niezbyt jasno napisałem - są to 2-3 próby ataku, w jednym ataku jest blokada 20-30 adresów IP - taki atak trawa około 30 sekund - 20 adresów IP próbuje się zalogować do synka w ciągu 30 sekund.
     
  8. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
  9. grzegorzsa
    Offline

    grzegorzsa Network Architect Q's Professional

    Dołączył:
    27 Wrzesień 2010
    Wiadomości:
    542
    Local Time:
    14:17
    Oceny:
    +0 / 0 / -0
    Followers:
    1
    Synology:
    DS710+, DS411+
  10. mikhnal
    Offline

    mikhnal Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    W /sbin to są same programy, nie ustawienia.
     
  11. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
    Tak, tam to znalazałem - jak można zapodać tam adresy IP które chciałbym zablokować - nie znam linuxa, nie wiem czy można to wgrać przez odpowiednio spreparowany plik. Nie mam pojęcia jak opdalić to za pomocą komend...
     
  12. grzegorzsa
    Offline

    grzegorzsa Network Architect Q's Professional

    Dołączył:
    27 Wrzesień 2010
    Wiadomości:
    542
    Local Time:
    14:17
    Oceny:
    +0 / 0 / -0
    Followers:
    1
    Synology:
    DS710+, DS411+
    nie - to nie tam...

    z helpa iptables z DS

    Usage: iptables -[AD] chain rule-specification [options]
    iptables -[RI] chain rulenum rule-specification [options]
    iptables -D chain rulenum [options]
    iptables -[LS] [chain [rulenum]] [options]
    iptables -[FZ] [chain] [options]
    iptables -[NX] chain
    iptables -E old-chain-name new-chain-name
    iptables -P chain target [options]
    iptables -h (print this help information)

    Wejdź, wpisz i powinno być można wpisywać całe klasy IP.
    Zalecam jednak ostrożność ;)
     
  13. Gotok
    Offline

    Gotok Nowy użytkownik Noobie

    Dołączył:
    28 Wrzesień 2009
    Wiadomości:
    4
    Local Time:
    14:17
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS211+
    Google podpowiada iż aby zablokować jakiś konkretny adres ip (np 192.168.0.11) należy w konsoli wpisać następujące komendy:

    Kod (Text):
    1. iptables -A INPUT -s 192.168.0.11 -j DROP
    2.  iptables -A FORWARD -s 192.168.0.11 -j DROP
    3.  iptables -A INPUT -d 192.168.0.11 -j DROP
    4.  iptables -A FORWARD -d 192.168.0.11 -j DROP
    Oczywiście do tego celu lepsza będzie wbudowana w DS "Zapora sieciowa", ale przy masowym blokowaniu adresów ip i nie chodzi mi tu o jakieś pule adresów ta metoda może wydać się znacznie szybsza, zwłaszcza jeśli zamkniemy ja w jakimś prostym skrypcie który zminimalizuje konieczność wpisywania wszystkiego do konsoli do czegoś typu: nazwa_skryptu adres_ip_do_zbanowania lub gdy ów skrypt będzie w stanie przetworzyć zewnętrzny plik z tymi adresami.
     
  14. crayo
    Offline

    crayo Passing Basics Beginner

    Dołączył:
    29 Lipiec 2011
    Wiadomości:
    13
    Miejscowość:
    Poznań
    Local Time:
    14:17
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS211j
    Ethernet:
    802.11n
    null 802.11n
    Po wyłaczeniu SSH i Telnetu nie ma już żadnych "ataków" :)
     
  15. mikhnal
    Offline

    mikhnal Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Wystarczy pozmieniać domyślne porty dla tych usług. Również dla FTP.
     
  16. Graffy
    Offline

    Graffy System Engineer Q Specialist

    Dołączył:
    13 Czerwiec 2011
    Wiadomości:
    191
    Local Time:
    16:17
    Oceny:
    +0 / 0 / -0
    Followers:
    1
    Skleciłem sobie ostatnio mały skrypcik, może komuś się przyda.

    Kod (Text):
    1.  
    2. #!/bin/sh
    3.  
    4. ################################################################
    5.  
    6. I=2                             # licznik, nie zmieniac
    7. L=192.168.1.0/255.255.255.0     # siec lokalna
    8. S=1                             # 1-DENY / 0-ACCEPT ( dot.całego ruchu )
    9. A=0                             # 1-DENY / 0-ACCEPT ( dot.poszczegolnych wpisow )
    10.  
    11. ################################################################
    12.  
    13. echo '[ADAPTER_eth0] ' > eth0.conf
    14. echo '   policy='$S >> eth0.conf
    15.  
    16. echo '[RULE_00001]' >> eth0.conf
    17. echo '  ports=ALL' >> eth0.conf
    18. echo '  enabled=1' >> eth0.conf
    19. echo '  source='$L >> eth0.conf
    20. echo '  protocol=3' >> eth0.conf
    21. echo '  allow=0' >> eth0.conf
    22.  
    23. for IP in $(cat lista)
    24. do
    25.         echo '[RULE_'`printf '%05d' $I`']' >> eth0.conf
    26.         echo '  ports=ALL' >> eth0.conf
    27.         echo '  enabled=1' >> eth0.conf
    28.         echo '  source='$IP >> eth0.conf
    29.         echo '  protocol=3' >> eth0.conf
    30.         echo '  allow='$A >> eth0.conf
    31.         I=`expr $I + 1`
    32. done
    33.  
    34. exit 0
    35.  
    36.  
    Aby go zastosować wklejamy jego zawartość do pliku np. "firewall.sh"
    Nadajemy prawa do wykonania "chmod a+x firewall.sh"
    W tym samym katalogu tworzymy plik "lista"
    Wklejamy do niego listę IP wygenerowaną ze strony https://www.countryipblocks.net/country_selection.php - opcja "Select Format: Netmask"
    Zaznaczam, wklejamy tylko listę IP bez zachaszowanego opisu !

    W moim przypadku wybrałem kraj "POLAND".
    Skrypt domyślnie ustawia zaporę aby wpuszczała IP z zakresu "polskiego internetu", sieć lokalną oraz blokowała inne nie zdefiniowane IP.
    Skrypt generuje plik "eth0.conf", który należy podmienić/skopiować do /etc/firewall i zrestartować zaporę :
    Kod (Text):
    1.  
    2. /usr/syno/etc/rc.d/S01iptables.sh force-reload 0 /etc/firewall
    3.  
    Trzeba pamiętać aby zmienić parametr "L", jeżeli mamy sieć lokalną z inną adresacją !

    Dwa problemy, które jak dotychczas napotkałem to boot-owanie przez tftpboot z Synka.
    Zapora blokuje ruch do serwera tftp.
    Można sobie z tym poradzić, modyfikując firewall-a aby filtrował po MAC adresie http://pronas.pl/adresy-mac-t2477.html
    Ważne aby ostatnią regułką w iptables była ta blokująca ruch.
    Kod (Text):
    1.  
    2. -P INPUT ACCEPT
    3. -P FORWARD ACCEPT
    4. -P OUTPUT ACCEPT
    5. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    6. -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
    7. -A INPUT -i eth0 -j DROP
    8.  
    Druga sprawa to DSM, przy takiej ilości wpisów w "eth0.conf" nie ma możliwości dopisania kolejnej.
    DSM ma prawdopodobnie na sztywno ustawioną ilość maksymalnych wpisów zapory.


    Skryptu można użyć do blokowania zakresów IP jak w tytule wątku.
    Np. wklejamy do pliku "lista" IP państw, które chcemy blokować.
    W skrypcie przestawiamy parametr "S=0" oraz "A=1"

    Tak wygenerowany plik "eth0.conf" domyślnie będzie wpuszczał wszystkie IP, poza "niechcianymi państwami".

    Wszelkie uwagi, sugestie mile widziane.
    Sam się uczę tego dopiero ;)

    ---------------------------------------------------------------------------------------------------------------------------------------
    EDIT
    Mała poprawka w skrypcie.
     
  17. mariuszsal
    Offline

    mariuszsal Moderator Q's Excellence

    Dołączył:
    15 Maj 2012
    Wiadomości:
    2 315
    Miejscowość:
    Lublin
    Local Time:
    16:17
    Oceny:
    +546 / 9 / -2
    Followers:
    2
    QNAP:
    TS-x53
    Ethernet:
    802.11a
    TS-x53 802.11a
    No OK, tylko po co takie kombinacje. Skoro zapora systemowa DSM daje nam to czego potrzebujecie.
    Dla przykładu dodałem jakieś Holenderskie IP, które gdzieś sie ostatnio próbowało połączyć. Ustalając maskę 255.0.0.0 blokujemy wszystkie adresy z podsieci 84.xxx.xxx.xxx
    Wstawiając maskę 255.255.0.0 zablokujemy wszystkich poniżej 84.107.xxx.xxx i tak dalej.


    [Nieprawidłowy link obrazu]:http://dslub.synology.me/pict/firewall1.png
     
  18. michau
    Offline

    michau Enterprise Admin... Q's Architect

    Dołączył:
    12 Listopad 2009
    Wiadomości:
    780
    Miejscowość:
    Mińsk Mazowiecki
    Local Time:
    14:17
    Oceny:
    +3 / 0 / -0
    Followers:
    1
    QNAP:
    null
    Synology:
    DS1515+ 6GB RAM
    Ethernet:
    1 GbE
    null 1 GbE
    A nie łatwiej zmienić domyślne porty na bardziej egzotyczne? Dopóki używałem domyślnych to też miałem codziennie po kilkanaście do kilkadziesiąt blokad ip a po zmianie 0 :)
     
  19. unr3al2
    Offline

    unr3al2 Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Re: Odp: Blokowanie wielu IP z Rosji, Chin, Tajwanu itp.

    Portu 25 nie przekierujesz;)

    Wysłane z mojego GT-N7000 za pomocą Tapatalk 2
     
  20. lmisiura
    Offline

    lmisiura Zarejestrowany Noobie

    Dołączył:
    15 Lipiec 2013
    Wiadomości:
    38
    Miejscowość:
    kraków
    Local Time:
    16:17
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS213+
    Ethernet:
    100 Mbps
    null 100 Mbps
    Ciekawostka.

    Wystarczy wybrać kraj i masię i inne ustawienia przekleić i blokada zrobiona.
     

Poleć tę stronę

Użytkownicy znaleźli te stronę szukając słów:

  1. blokowanie calego zakresy IP