PUERTO 22 (SSH) ABIERTO CON ESTA REGLAS

[Manuel Encarnacion]

Saludos Grupo de LinuxCabal,

Estoy implementando una reglas iptables en mi servidores para ataques de fuerza bruta la cual aprendi en los videos de Richard hace un tiempo. El problema viene que al poner estas reglas el puerto 22 no me sale abierto, la regla me bloquea el puerto 22.

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A INPUT -p tcp -m tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 60 Seg: "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 1 Hora: "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j DROP

[Richard Couture]

falta la ultima regla

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

después de las otras

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--set --name SSH
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j LOG --log-prefix

"SSH brute force 60 "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent

--rcheck --seconds 3600 --hitcount 12 --rttl --name SSH -j LOG
--log-prefix "SSH brute force 3600 "
-A INPUT -p tcp -m tcp --dport ssh -m conntrack --ctstate NEW -m recent
--rcheck --seconds 3600 --hitcount 12 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT




Richard

--
LinuxCabal Asociación Civil
Ing. Richard Couture
Novell CNE, ECNE, MCNE
HP/Compaq ASE
Tel.: (+52) (333) 145-2638
Cel.: (+52) (044) 333 377-7505
Web: http://www.LinuxCabal.org
E-Mail: r...@linuxcabal.org
Hosted en la nube Cloud Sigma - www.CloudSigma.com

AVISO DE CONFIDENCIALIDAD: Este correo electrónico, incluyendo en su
caso, los archivos adjuntos al mismo, pueden contener información de
carácter confidencial y/o privilegiada, y se envían a la atención única
y exclusivamente de la persona y/o entidad a quien va dirigido. La
copia, revisión, uso, revelación y/o distribución de dicha información
confidencial sin la autorización por escrito de LinuxCabal está
prohibida. Si usted no es el destinatario a quien se dirige el presente
correo, favor de contactar al remitente respondiendo al presente correo
y eliminar el correo original incluyendo sus archivos, así como
cualesquiera copia del mismo. Mediante la recepción del presente correo
usted reconoce y acepta que en caso de incumplimiento de su parte y/o de
sus representantes a los términos antes mencionados, LinuxCabal tendrá
derecho a los daños y perjuicios que esto le cause.

[Manuel Encarnacion]

Richard, ya me esta funcionando muchas gracias,

Como puedo borrar una ip que ya bloqueadas por la reglas por una hora, si quiero reiniciar para que pueda conectar nuevamente. Probe con iptables -Z y borre los contadores pero aun asi la IP sigue bloqueada.

[Omar]

Puedes probar tambien fail2ban o en mi caso hice un script parecido que los agrega a /etc/hosts.deny en mi caso me interesa que si me atacan por ssh tambien los bloqueo en otros servicios de una ves y es para mi mas facil quitarlos de ese archivo cuando lo necesito

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/50ee59f0-30ce-448d-83a2-cebf48f817fb%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

Carlos Omar Briseño Gutierrez Software Engineering Cell:(214) 797-7702 oma...@pixelab.com.mx http://pixelab.com.mx f t

[Luis Enrique Pineda]

A mi  también me gusta fail2ban, especialmente por que puedes hacer jails para otros servicios y lo puedo poner con la misma config así use iptables o firewalld (si, detrás de firewalld está iptables).

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAPcVVYqyY49a4ytf6A_TJkXn0%2B3SUrKzix7mm9yKb2%3DHh3iEJQ%40mail.gmail.com.

[Manuel Encarnacion]

me puedes pasar la info de fail2ban ?

El lunes, 12 de septiembre de 2016, 12:03:35 (UTC-4), Carlos Omar Briseño Gutierrez escribió:

Puedes probar tambien fail2ban o en mi caso hice un script parecido que los agrega a /etc/hosts.deny en mi caso me interesa que si me atacan por ssh tambien los bloqueo en otros servicios de una ves y es para mi mas facil quitarlos de ese archivo cuando lo necesito

El 12 de septiembre de 2016, 8:03, Manuel Encarnacion <damu...@gmail.com> escribió:

Saludos Grupo de LinuxCabal,

Estoy implementando una reglas iptables en mi servidores para ataques de fuerza bruta la cual aprendi en los videos de Richard hace un tiempo. El problema viene que al poner estas reglas el puerto 22 no me sale abierto, la regla me bloquea el puerto 22.

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A INPUT -p tcp -m tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 60 Seg: "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 1 Hora: "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j DROP

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/50ee59f0-30ce-448d-83a2-cebf48f817fb%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

[Omar]

El 12 de septiembre de 2016, 13:10, Manuel Encarnacion <damu...@gmail.com> escribió:

me puedes pasar la info de fail2ban ?

http://www.fail2ban.org/wiki/index.php/Main_Page 

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/103a8bac-dfc0-41ba-b10d-a7af92c4fb92%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

[Manuel Encarnacion]

 Carlos Omar disculpa,

Al intentar hacer unos cambios en las reglas, ahora cuando hago iptables-save para ver que tengo me sale en blanco, tambien al hacer iptables-restores sale en blanco. Que cree que puede ser?

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/103a8bac-dfc0-41ba-b10d-a7af92c4fb92%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

[Manuel Encarnacion]

Al intentar hacer unos cambios en las reglas, ahora cuando hago iptables-save para ver que tengo me sale en blanco, tambien al hacer iptables-restores sale en blanco. 

El lunes, 12 de septiembre de 2016, 9:14:20 (UTC-4), Richard Couture escribió:

[Omar]

El 12 de septiembre de 2016, 16:36, Manuel Encarnacion <damu...@gmail.com> escribió:

 Carlos Omar disculpa,

Al intentar hacer unos cambios en las reglas, ahora cuando hago iptables-save para ver que tengo me sale en blanco, tambien al hacer iptables-restores sale en blanco. Que cree que puede ser?

Yo creo que borraste todas las reglas y después las guardaste pero puedes alistarlas de otras formas mira este manual :

https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules 

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/18700740-f038-4679-a27f-0410883177e1%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

[Manuel Encarnacion]

Cuando verifico journalctl -xe me da este error

iptable_filter iptable_raw ip_tables[FAILED]. 

Creo que algun modulo del kernel tiene algun error....

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/18700740-f038-4679-a27f-0410883177e1%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

[rrc]

Si unos de tus reglas está escrito mal, nongún regla se pone y iptables-save sale en blanco

Richard

Richard Couture

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/18700740-f038-4679-a27f-0410883177e1%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

Carlos Omar Briseño Gutierrez Software Engineering Cell:(214) 797-7702 oma...@pixelab.com.mx http://pixelab.com.mx f t

--

Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAPcVVYp%3DSeX8YfHhCqNt%3D94eZYHJJ8nWLDuX4mmUqRFKqJHVRA%40mail.gmail.com.

[rrc]

Si estas usando SysV o Systemd, tus reglas den ser en /etc/sysconfig/iptables

[Renich Bon Ciric]

fail2ban ruléa