PUERTO 22 (SSH) ABIERTO CON ESTA REGLAS

Manuel Encarnacion

unread,

Sep 12, 2016, 9:03:53 AM9/12/16

to LinuxCabal

Saludos Grupo de LinuxCabal,

Estoy implementando una reglas iptables en mi servidores para ataques de fuerza bruta la cual aprendi en los videos de Richard hace un tiempo. El problema viene que al poner estas reglas el puerto 22 no me sale abierto, la regla me bloquea el puerto 22.

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A INPUT -p tcp -m tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 60 Seg: "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j DROP

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 1 Hora: "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j DROP

Richard Couture

unread,

Sep 12, 2016, 9:14:20 AM9/12/16

to linux...@googlegroups.com

falta la ultima regla

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

después de las otras

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--set --name SSH
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j LOG --log-prefix

"SSH brute force 60 "

-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent
--rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent

--rcheck --seconds 3600 --hitcount 12 --rttl --name SSH -j LOG
--log-prefix "SSH brute force 3600 "
-A INPUT -p tcp -m tcp --dport ssh -m conntrack --ctstate NEW -m recent
--rcheck --seconds 3600 --hitcount 12 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

Richard

--
LinuxCabal Asociación Civil
Ing. Richard Couture
Novell CNE, ECNE, MCNE
HP/Compaq ASE
Tel.: (+52) (333) 145-2638
Cel.: (+52) (044) 333 377-7505
Web: http://www.LinuxCabal.org
E-Mail: r...@linuxcabal.org
Hosted en la nube Cloud Sigma - www.CloudSigma.com

AVISO DE CONFIDENCIALIDAD: Este correo electrónico, incluyendo en su
caso, los archivos adjuntos al mismo, pueden contener información de
carácter confidencial y/o privilegiada, y se envían a la atención única
y exclusivamente de la persona y/o entidad a quien va dirigido. La
copia, revisión, uso, revelación y/o distribución de dicha información
confidencial sin la autorización por escrito de LinuxCabal está
prohibida. Si usted no es el destinatario a quien se dirige el presente
correo, favor de contactar al remitente respondiendo al presente correo
y eliminar el correo original incluyendo sus archivos, así como
cualesquiera copia del mismo. Mediante la recepción del presente correo
usted reconoce y acepta que en caso de incumplimiento de su parte y/o de
sus representantes a los términos antes mencionados, LinuxCabal tendrá
derecho a los daños y perjuicios que esto le cause.

Manuel Encarnacion

unread,

Sep 12, 2016, 10:12:36 AM9/12/16

to LinuxCabal

Richard, ya me esta funcionando muchas gracias,

Como puedo borrar una ip que ya bloqueadas por la reglas por una hora, si quiero reiniciar para que pueda conectar nuevamente. Probe con iptables -Z y borre los contadores pero aun asi la IP sigue bloqueada.

Omar

unread,

Sep 12, 2016, 12:03:35 PM9/12/16

to linux...@googlegroups.com

Puedes probar tambien fail2ban o en mi caso hice un script parecido que los agrega a /etc/hosts.deny en mi caso me interesa que si me atacan por ssh tambien los bloqueo en otros servicios de una ves y es para mi mas facil quitarlos de ese archivo cuando lo necesito

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/50ee59f0-30ce-448d-83a2-cebf48f817fb%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

Carlos Omar Briseño Gutierrez
Software Engineering
Cell:(214) 797-7702
oma...@pixelab.com.mx
http://pixelab.com.mx
f t

Luis Enrique Pineda

unread,

Sep 12, 2016, 1:57:47 PM9/12/16

to linux...@googlegroups.com

A mi también me gusta fail2ban, especialmente por que puedes hacer jails para otros servicios y lo puedo poner con la misma config así use iptables o firewalld (si, detrás de firewalld está iptables).

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAPcVVYqyY49a4ytf6A_TJkXn0%2B3SUrKzix7mm9yKb2%3DHh3iEJQ%40mail.gmail.com.

Manuel Encarnacion

unread,

Sep 12, 2016, 2:10:01 PM9/12/16

to LinuxCabal

me puedes pasar la info de fail2ban ?

El lunes, 12 de septiembre de 2016, 12:03:35 (UTC-4), Carlos Omar Briseño Gutierrez escribió:

Puedes probar tambien fail2ban o en mi caso hice un script parecido que los agrega a /etc/hosts.deny en mi caso me interesa que si me atacan por ssh tambien los bloqueo en otros servicios de una ves y es para mi mas facil quitarlos de ese archivo cuando lo necesito

El 12 de septiembre de 2016, 8:03, Manuel Encarnacion <damu...@gmail.com> escribió:

Saludos Grupo de LinuxCabal,

Estoy implementando una reglas iptables en mi servidores para ataques de fuerza bruta la cual aprendi en los videos de Richard hace un tiempo. El problema viene que al poner estas reglas el puerto 22 no me sale abierto, la regla me bloquea el puerto 22.

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -p tcp -m tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name SSH
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 60 Seg: "
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 60 --hitcount 7 --rttl --name SSH -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j LOG --log-prefix "Fuerza BRUTA SSH 1 Hora: "
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -m recent --rcheck --seconds 3600 --hitcount 15 --rttl --name SSH -j DROP

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/50ee59f0-30ce-448d-83a2-cebf48f817fb%40googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

Omar

unread,

Sep 12, 2016, 2:36:06 PM9/12/16

to linux...@googlegroups.com

El 12 de septiembre de 2016, 13:10, Manuel Encarnacion <damu...@gmail.com> escribió:

me puedes pasar la info de fail2ban ?

http://www.fail2ban.org/wiki/index.php/Main_Page

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/103a8bac-dfc0-41ba-b10d-a7af92c4fb92%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

Manuel Encarnacion

unread,

Sep 12, 2016, 5:36:02 PM9/12/16

to LinuxCabal

Carlos Omar disculpa,

Al intentar hacer unos cambios en las reglas, ahora cuando hago iptables-save para ver que tengo me sale en blanco, tambien al hacer iptables-restores sale en blanco. Que cree que puede ser?

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/103a8bac-dfc0-41ba-b10d-a7af92c4fb92%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

Manuel Encarnacion

unread,

Sep 12, 2016, 7:52:00 PM9/12/16

to LinuxCabal

Al intentar hacer unos cambios en las reglas, ahora cuando hago iptables-save para ver que tengo me sale en blanco, tambien al hacer iptables-restores sale en blanco.

El lunes, 12 de septiembre de 2016, 9:14:20 (UTC-4), Richard Couture escribió:

Omar

unread,

Sep 12, 2016, 11:36:09 PM9/12/16

to linux...@googlegroups.com

El 12 de septiembre de 2016, 16:36, Manuel Encarnacion <damu...@gmail.com> escribió:

Carlos Omar disculpa,

Al intentar hacer unos cambios en las reglas, ahora cuando hago iptables-save para ver que tengo me sale en blanco, tambien al hacer iptables-restores sale en blanco. Que cree que puede ser?

Yo creo que borraste todas las reglas y después las guardaste pero puedes alistarlas de otras formas mira este manual :

https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/18700740-f038-4679-a27f-0410883177e1%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

Manuel Encarnacion

unread,

Sep 12, 2016, 11:55:29 PM9/12/16

to LinuxCabal

Cuando verifico journalctl -xe me da este error

iptable_filter iptable_raw ip_tables[FAILED].

Creo que algun modulo del kernel tiene algun error....

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/18700740-f038-4679-a27f-0410883177e1%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

rrc

unread,

Sep 13, 2016, 7:25:10 AM9/13/16

to linux...@googlegroups.com

Si unos de tus reglas está escrito mal, nongún regla se pone y iptables-save sale en blanco

Richard

Richard Couture

Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+unsubscribe@googlegroups.com.

Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/18700740-f038-4679-a27f-0410883177e1%40googlegroups.com.

Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

Carlos Omar Briseño Gutierrez
Software Engineering
Cell:(214) 797-7702
oma...@pixelab.com.mx
http://pixelab.com.mx
f t

--

Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para publicar en este grupo, envía un correo electrónico a linux...@googlegroups.com.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAPcVVYp%3DSeX8YfHhCqNt%3D94eZYHJJ8nWLDuX4mmUqRFKqJHVRA%40mail.gmail.com.

rrc

unread,

Sep 13, 2016, 7:27:34 AM9/13/16

to linux...@googlegroups.com

Si estas usando SysV o Systemd, tus reglas den ser en /etc/sysconfig/iptables

Renich Bon Ciric

unread,

Sep 14, 2016, 12:41:31 PM9/14/16

to linux...@googlegroups.com

fail2ban ruléa

Reply all

Reply to author

Forward