Frage zu den iptables

[svenni]

wenn ich per:
iptables -I INPUT -s 79.167.88 -j DROP
die (falsche) ip 79.167.88 blocke, ist dann z.B. auch 79.167.88.1 geblockt? Also alles was den string 79.167.88 in sich hat?
Oder wirklich nur 79.167.88?

Eigentlich sagt der Parameter -s aus dass nur diese IP geblockt werden soll.

Irgend so ein Heini floodet mein Server mit merkwürdigen fake IPs und ich versuche diese zu blocken.....

 

[Lord Gurke]

Nimm doch einfach

iptables -I INPUT -s 79.167.88.0/24 -j DROP

Damit hast du dann alles zwischen 79.167.88.0 - 79.167.88.255 geblockt.
Wenn es aber UDP-Traffic ist, hilft dir die Firewall nur marginal weiter - denn UDP-Pakete werden einfach gesendet und dann "nach mir die Sintflut".

 

[svenni]

das problem ist, das irgend so ein depp den server floodet, mit imaginären IP adressen die alle nur 3 blöcke haben anstatt 4 blöcke, also z.B.:

tcp6       0      0 ::ffff:::ffff:188.4.140.:52305 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52308 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52310 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52317 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52320 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52323 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52325 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52348 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52351 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52360 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52421 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52424 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.140.:52427 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.141.:59235 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.147.:62182 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.147.:62290 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.148.:49838 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.148.:53506 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.152.:57431 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.154.:56590 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.156.:58602 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.156.:58602 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.160.:64926 ESTABLISHED
tcp6       0      0 ::ffff::80 ::ffff:188.4.163.:56043 ESTABLISHED

siehst du die IPs, die sind alle im format xxx.xxx.xxx anstelle von xxx.xxx.xxx.xxx

 

[CentY]

Da reicht nur der Platz zum Anzeigen nicht

 

[svenni]

doch, denn die richtigen IPs die eine verbindung zum rechner haben sind damit angezeigt, also:

tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.115.4:2344 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.116.1:3486 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.12.1:58772 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.12.1:58790 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.122.:59559 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.123.:63522 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.124.:54174 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.124.:59995 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.125.:54780 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.125.:54784 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.127.:50505 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.137.1:3062 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.137.1:3328 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52302 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52305 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52308 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52310 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52317 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52320 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52323 ESTABLISHED
tcp6       0      0 ::ffff:xx.xxx.xxx.xx:80 ::ffff:188.4.140.:52325 ESTABLISHED

z.B. 188.4.137.1 ist ne richtige verbindung, 188.4.127 ne attacke.
ich habe ja im schnitt 200 "echte" verbindungen zum server, das ist ja auch okay, nur jetzt sind es über 2000

 

[kannnix]

Na klar, ne Attacke... *den Bauch halt*

Schonmal bemerkt dass es ich um ipv6 handelt, und da die 80 Spalten nich langen? Vor allem bei den 5-stelligen Portnummern fehlen Dir ja komischerweise immer die letzten Oktets.

Tipp:

Option "-W" ("--wide")

Do not truncate IP addresses by using output as wide as needed. This is optional for now to not break existing scripts.

Vlt, solltest Du Deinen Torrentserver besser runterfahren, bevor noch jmd. ernsthafte Schäden davon trägt.

Gruss

 

[Lord Gurke]

Ich halte dir den Bauch mit - es sind nämlich sehr wohl IPv4-Adressen
Wie dir vielleicht auffällt, fangen die beschriebenen Adressen mit vier "F" an und werden danach wieder mit normalen Punkten getrennt
Siehe hier.

Aber bei der Sache mit den Ports muss ich dir zustimmen. IP-Pakete, bei denen ein Okett vom Absender fehlt, dürften ohnehin schon frühzeitig von irgendeinem Router verworfen werden.

 

[kannnix]

Ok, ich präzisiere: Es sind ipv4 Adressen die auf den ipv6 space gemappt wurden, da der OP ipv6 Support aktiviert hat.

Gruss

 

[svenni]

das ist ja nett dass ihr euch den Bauch haltet, hilft mir aber net.....
Fakt ist das jeden Tag ab 3 Uhr mittags die Verbindungen von 200 auf 3000 steigen, abrupt, nicht ganz langsam.
Das hört dann um genau 12 uhr nachts wieder auf.
Ich gehe davon aus, dass jemand den Server floodet, womit und wie weiss ich nicht, interessant wäre es zu wissen wie man das stoppt?!

Vlt, solltest Du Deinen Torrentserver besser runterfahren, bevor noch jmd. ernsthafte Schäden davon trägt.

den einzigen ernsthaften Schaden bekomme ich bald am Herzen wenn das so weiter geht.....

 

[kannnix]

Aber das entspricht m.E. genau dem typischen Userverhalten. Die Kids kommen Nachmittag von der Schule, werfen ihre Kisten an und ab gehts. Bis 12 sind dann auch die meisten im Bett, denn nächsten Tag ist ja Schule.

Also ich wär mir nicht sicher, ob es sich tatsächlich um ein technisches oder eher "soziales" Problem handelt.

Gruss