เราใช้ iptables
กับ ipset
รายการบนขอบเขตเครือข่ายของเรา โดยทั่วไปใช้งานได้ดี ฉันได้อัปเดตกฎเพื่อติดตามกิจกรรมมากขึ้น และพบว่ากฎสำหรับอัปเดตชุดดูเหมือนจะไม่อัปเดตชุดสำเร็จเสมอไป กฎอยู่ใน การเตรียมการ
ห่วงโซ่ของ ยุ่งเหยิง
ตาราง.
นี่คือกฎ (จาก iptables -L -nv -t พังก์
):
ตั้งค่าทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ตรงกับชุด BlackHoleTargets dst ! ชุดจับคู่ PrivateNets src ชุดเพิ่ม blackholescanners src
โดยที่ BlackHoleTargets เป็น hash:ip ตั้งค่ารายการที่อยู่ IP ที่ไม่ควรเผยแพร่ PrivateNets เป็นชุด hash:net ที่แสดงรายการซับเน็ตที่ใช้ภายใน (ไม่สามารถกำหนดเส้นทางได้) และ blackholescanners เป็นชุด hash:ip เพื่อจับที่อยู่ของเครื่องที่ตรวจสอบที่อยู่ที่ไม่ได้เผยแพร่
ฉันคิดว่ามันทำงานได้ดี - หลังจากล้างรายการเครื่องสแกนหลุมดำแล้วก็เริ่มเต็มอย่างรวดเร็ว มีการหมดเวลา 12 ชั่วโมงและโดยทั่วไปจะมีที่อยู่ ~ 22k ปัจจุบันขนาดสูงสุดของชุดนี้คือ 65536 องค์ประกอบ
ในส่วนหนึ่งของการแก้ไขกฎ เราได้แนะนำกฎใหม่เฉพาะสำหรับเซิร์ฟเวอร์ RDP โดยมีจุดประสงค์เพื่ออนุญาตเฉพาะรายการไดนามิกของไคลเอ็นต์ที่ได้รับอนุญาตในการเชื่อมต่อ ในส่วนหนึ่งของสิ่งนี้ เรามีกฎในการตรวจจับเซสชัน RDP ซึ่งไม่ได้รับอนุญาตจากกฎนี้ใน กรอง
ตาราง ซึ่งไปข้างหน้า
โซ่ (เอาต์พุตจาก iptables -L -nv
):
SET tcp -- * * 0.0.0.0/0 xxx.xxx.xxx.0/24 tcp dpt:3389 กีฬาหลายพอร์ต 1024:65535 เพิ่มชุด UnrecognisedRDP src,dst
ที่ไหน xxx.xxx.xxx.0/24 เป็นช่วงภายในเครือข่ายของเรา และ UnrecognisedRDP เป็น hash:net,net ที่ตั้งค่าให้ติดตามเซสชันเหล่านี้
ฉันเห็นรายการในตาราง UnrecognisedRDP ซึ่งที่อยู่ปลายทางแสดงอยู่ใน BlackHoleTargets - ฉันคาดว่าที่อยู่ต้นทางควรอยู่ใน blackholescanners แต่ไม่ใช่ และไม่ตรงกับรายการ PrivateNets ด้วย
ตัวอย่างเช่น เรามีหลายรายการในตาราง UnrecognisedRDP (สำหรับที่อยู่ปลายทางที่แตกต่างกัน) สำหรับที่อยู่เริ่มต้น 192.241.217 (ที่อยู่ IP แบบเต็มถูกระงับ) ที่อยู่ต้นทางไม่ตรงกับชุด PrivateNet (ซึ่งมีซับเน็ตเหล่านี้: 10.0.128.0/20; 10.1.0.0/16; 10.0.0.0/20; 10.0.16.0/24; 10.192.0.0/10; 10.2.0.0/ 24; 10.129.1.0/24) ดังนั้นฉันคาดว่าที่อยู่ต้นทางในรายการ UnrecognisedRDP จะอยู่ใน blackholescanners ที่ตั้งค่าไว้ แต่ไม่ใช่ รายการ blackholescanners ไม่เต็ม (จำนวนรายการ: 19356 maxelem 65536)
ฉันได้ลองเพิ่มกฎที่ซ้ำกันใน กรอง
ตาราง ซึ่งไปข้างหน้า
ห่วงโซ่เหนือกฎที่เพิ่มที่อยู่ไปยังตาราง UnrecognisedRDP หลังจากล้างชุด UnrecognisedRDP ฉันยังคงพบรายการที่เพิ่มไปยังชุด UnrecognisedRDP ซึ่งไม่ได้เพิ่มในชุด blackholescanners ตัวนับแพ็กเก็ตแสดงว่ากฎทั้งสองเริ่มทำงานแล้ว
ดังนั้นคำถามของฉันคือ: ทำไมไม่มีกฎกับ -j SET --add-set blackholescanners src
อัพเดทชุดเรียบร้อย?