problem z apf

[ds1978]

Witam,

mam problem z firewall'em. Uzywam apf. Problem polega na tym ze blokuje mi port 80, czasami 22..

Nie mam pojecia jak t sie dzieje: nie widze zeby byly slady jakis wlaman. (chociaz nie wiem jak to sprawdzic za bardzo..)

Uzywam tez DDos - http://deflate.medialayer.com/old/

byc moze to jest problemem.

Zglaszalem juz ten problem do NOC'a ale nie sa w stanie nic zrobic..

Czy jest tu ktos kto moze pomoc. Jestem gotowy zaplacic, za fachowa i skuteczna lekcje-porade, prowadzac za reke najlepeij (niestety nie moge dac dostepu).

pozdr.

[TQM]

Czy przez to tylko serwer czy tez bramka sieci LAN robiaca NAT? Poza tym blokuje WWW - w sensie to co dziala na tym serwerze czy to na ktore Ty lub Twoi uzytkownicy wchodzicie? Wiecej precyzji w pytaniu prosze.

[ds1978]

Czy przez to tylko serwer czy tez bramka sieci LAN robiaca NAT?

Nie wiem tak naprawde o co pytasz. Jak to sprawdzic?

Wiem tylko ze problem sie powtorzyl znowu. POrty 80 i 22 zablokowane. Nie moge zaladowac strony ani zalogowac sie przez ssh. Jedyne co moge zrobic to zbootowac go i reguly sie zresetuja.

Ale jak temu zapobiec? Mam prawo przypuszczac ze to robi ktos umyslnie. Prawdopodobnie wykorzystuje jakas luke w apf albo iptables.. ale nie znam sie na tyle na tym.

jesli ktos chce mi pomoc, prosze o kontakt na ds1978 at gmail

[TQM]

Raczej sensor stwierdza ze twoj komp go atakuje i ustawia regulki - to blad w konfiguracji a nie w apf... a jesli nie wiesz nawet co ten komp robi to o czym my w ogole rozmawiamy?!

Nie majac podstawowych informacji porywasz sie z motyka na slonce - aby wiedziec jak cos naprawic trzeba zrozumiec jak to dziala i dlaczego tak a nie inaczej sie zachowuje. W tej sytuacji przed Toba baaaardzo dluga droga.

[ds1978]

czy ktos ma pojecie jak ten problem ruszyc?

dzisiaj sytuacja sie powtorzyla, z tym ze zostal zablokowany port 11211 gdzie mam memcached (wiec strony i tak sie nie ladowaly).

kiedy wydalem polecenie

netstat -an | grep "LISTEN ":

tcp 0 0 127.0.0.1:199 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:10026 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:11211 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 10.5.185.2:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp6 0 0 :::8080 :::* LISTEN
tcp6 0 0 ::ffff:127.0.0.1:6800 :::* LISTEN
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 0 :::25 :::* LISTEN
tcp6 0 0 ::1:953 :::* LISTEN
tcp6 0 0 :::39391 :::* LISTEN


port ten byl widoczny na liscie - ale aplikacja php nie mozgla sie z nim polaczyc.

po zrestartowaniu apf wszystko bylo ok.

czy ktos wie gdzie szukac rozwiazania ?

pozdr.

[TQM]

to ze usluga slucha to dobrze... pytanie czy firewall nie blokuje do niej dostepu - nastepny krok to listing regul firewall'a i sprawdzenie czy lub co ten ruch wycina

[ds1978]

dzieki za te uwage.

wykonalem polecenie:
iptables --list -n -v | grep ACCEPT

Chain INPUT (policy ACCEPT 338 packets, 43946 bytes)
71967 114M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
6116 592K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
481 30128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
2302K 260M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:161
19 924 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:623
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2082
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2083
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2086
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2087
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2095
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2096
48 2000 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:6666
64 13632 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:161
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:465
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:623
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:873
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:8080
140 16444 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 limit: avg 30/sec burst 5
23 1288 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 5 limit: avg 30/sec burst 5
23 1898 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 limit: avg 30/sec burst 5
4 160 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 30/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 30 limit: avg 30/sec burst 5
110 8016 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 30/sec burst 5
38806 41M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5997 905K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 10.0.80.11 0.0.0.0/0 udp spt:53 dpts:1023:65535
0 0 ACCEPT tcp -- * * 10.0.80.11 0.0.0.0/0 tcp spt:53 dpts:1023:65535
0 0 ACCEPT udp -- * * 10.0.80.12 0.0.0.0/0 udp spt:53 dpts:1023:65535
0 0 ACCEPT tcp -- * * 10.0.80.12 0.0.0.0/0 tcp spt:53 dpts:1023:65535
84 2688 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:33434:33534
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 346 packets, 111K bytes)
71967 114M ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
1796K 871M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:1024:65535 state RELATED,ESTABLISHED
5985 408K ACCEPT udp -- * * 0.0.0.0/0 10.0.80.11 udp spts:1023:65535 dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.0.80.11 tcp spts:1023:65535 dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 10.0.80.11 udp spts:1023:65535 dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.0.80.11 tcp spts:1023:65535 dpt:53
23 1511 ACCEPT udp -- * * 0.0.0.0/0 10.0.80.12 udp spts:1023:65535 dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.0.80.12 tcp spts:1023:65535 dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 10.0.80.12 udp spts:1023:65535 dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 10.0.80.12 tcp spts:1023:65535 dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:33434:33534


jak widac nie ma wsrod nich portu 11211, chociaz memcached dziala ok.

jak slusznie wzrociles uwage, zasadnicza sprawa jest sprawdzenie co ten ruch (port) wycina. jakies pomysly co mozna zrobic, by do tego dojsc?

[TQM]

Hmmm - liste jak wyzej trzeba sprawdzic w momencie gdy usluga zostaje wycieta a nie gdy dziala poprawnie. Poza tym ten firewall wyglada mi jakos dziwnie...

1. Default policy na INPUT jest ACCEPT wiec jakiekolwiek wpisy ACCEPT ponizej nie maja sensu a zadnego DENY/DROP nie ma :-/ szkoda cykli procesora skoro i tak system jest ogolnie otwarty
2. Lancuch FORWARD ma policy ACCEPT - jesli nie jest to konieczne (NAT) to zmienilbym na DROP

... i szukalbym dalej :P

[tanaka]

Hmmm - liste jak wyzej trzeba sprawdzic w momencie gdy usluga zostaje wycieta a nie gdy dziala poprawnie. Poza tym ten firewall wyglada mi jakos dziwnie...

1. Default policy na INPUT jest ACCEPT wiec jakiekolwiek wpisy ACCEPT ponizej nie maja sensu a zadnego DENY/DROP nie ma :-/ szkoda cykli procesora skoro i tak system jest ogolnie otwarty
2. Lancuch FORWARD ma policy ACCEPT - jesli nie jest to konieczne (NAT) to zmienilbym na DROP

... i szukalbym dalej :P

tqm ...badz szczery... to nie firewall tylko ser szwajcarski z drabinka do wejscia...ciezko w tym cos wiecej szukac, tutaj potrzeba wszystkiego od nowa...

do ds1978:
"jak widac nie ma wsrod nich portu 11211, chociaz memcached dziala ok"

masz domyslna polityke na ACCEPT:

Chain INPUT (policy ACCEPT 338 packets, 43946 bytes)
wiec nie musi tu byc tej regulki...

Jesli chcesz cos przyuwazyc, to sprobuj w momencie gdy jakis port ci nie dziala wywolac to polecenie z "...|grep DROP"

[ds1978]

dzieki za te odpowiedz.

dzisiaj dla odmiany poblokowane sa porty mailowe (ktos sie niezle bawi..)

iptables --list -n | grep ACCEPT
Chain INPUT (policy ACCEPT)
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:623
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2095
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2096
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6666
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:161
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:873
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 30/sec burst 5
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 30/sec burst 5
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT udp -- 10.0.80.12 0.0.0.0/0 udp spt:53 dpts:1023:65535
Chain FORWARD (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 10.0.80.12 udp spts:1023:65535 dpt:53
ACCEPT tcp -- 0.0.0.0/0 10.0.80.12 tcp spts:1023:65535 dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpts:33434:33534

jesli wykonam:
iptables --list -n | grep :110
lub
iptables --list -n | grep :143

to nic nie znajduje.. wiec pewnie jest ustawiony DROP na wszytsko inne poza tymi w ACCEPT.. wykonalem
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

reguly sa w accept ale mail nie chce ciagle ruszyc.. (ruszyl dopiero gdy zrestartowalem apf)

PYTANIE: jak sprawdzic i znalezc gdzie jest dziura? jak naprawic to?

PS. chetnie zaplace za skuteczne rady.