Score:0

ไม่ได้เพิ่มที่อยู่ลงในชุดเสมอ (iptables)

ธง be

เราใช้ iptables กับ ipset รายการบนขอบเขตเครือข่ายของเรา โดยทั่วไปใช้งานได้ดี ฉันได้อัปเดตกฎเพื่อติดตามกิจกรรมมากขึ้น และพบว่ากฎสำหรับอัปเดตชุดดูเหมือนจะไม่อัปเดตชุดสำเร็จเสมอไป กฎอยู่ใน การเตรียมการ ห่วงโซ่ของ ยุ่งเหยิง ตาราง.

นี่คือกฎ (จาก iptables -L -nv -t พังก์):

ตั้งค่าทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ตรงกับชุด BlackHoleTargets dst ! ชุดจับคู่ PrivateNets src ชุดเพิ่ม blackholescanners src

โดยที่ BlackHoleTargets เป็น hash:ip ตั้งค่ารายการที่อยู่ IP ที่ไม่ควรเผยแพร่ PrivateNets เป็นชุด hash:net ที่แสดงรายการซับเน็ตที่ใช้ภายใน (ไม่สามารถกำหนดเส้นทางได้) และ blackholescanners เป็นชุด hash:ip เพื่อจับที่อยู่ของเครื่องที่ตรวจสอบที่อยู่ที่ไม่ได้เผยแพร่

ฉันคิดว่ามันทำงานได้ดี - หลังจากล้างรายการเครื่องสแกนหลุมดำแล้วก็เริ่มเต็มอย่างรวดเร็ว มีการหมดเวลา 12 ชั่วโมงและโดยทั่วไปจะมีที่อยู่ ~ 22k ปัจจุบันขนาดสูงสุดของชุดนี้คือ 65536 องค์ประกอบ

ในส่วนหนึ่งของการแก้ไขกฎ เราได้แนะนำกฎใหม่เฉพาะสำหรับเซิร์ฟเวอร์ RDP โดยมีจุดประสงค์เพื่ออนุญาตเฉพาะรายการไดนามิกของไคลเอ็นต์ที่ได้รับอนุญาตในการเชื่อมต่อ ในส่วนหนึ่งของสิ่งนี้ เรามีกฎในการตรวจจับเซสชัน RDP ซึ่งไม่ได้รับอนุญาตจากกฎนี้ใน กรอง ตาราง ซึ่งไปข้างหน้า โซ่ (เอาต์พุตจาก iptables -L -nv):

SET tcp -- * * 0.0.0.0/0 xxx.xxx.xxx.0/24 tcp dpt:3389 กีฬาหลายพอร์ต 1024:65535 เพิ่มชุด UnrecognisedRDP src,dst

ที่ไหน xxx.xxx.xxx.0/24 เป็นช่วงภายในเครือข่ายของเรา และ UnrecognisedRDP เป็น hash:net,net ที่ตั้งค่าให้ติดตามเซสชันเหล่านี้

ฉันเห็นรายการในตาราง UnrecognisedRDP ซึ่งที่อยู่ปลายทางแสดงอยู่ใน BlackHoleTargets - ฉันคาดว่าที่อยู่ต้นทางควรอยู่ใน blackholescanners แต่ไม่ใช่ และไม่ตรงกับรายการ PrivateNets ด้วย

ตัวอย่างเช่น เรามีหลายรายการในตาราง UnrecognisedRDP (สำหรับที่อยู่ปลายทางที่แตกต่างกัน) สำหรับที่อยู่เริ่มต้น 192.241.217 (ที่อยู่ IP แบบเต็มถูกระงับ) ที่อยู่ต้นทางไม่ตรงกับชุด PrivateNet (ซึ่งมีซับเน็ตเหล่านี้: 10.0.128.0/20; 10.1.0.0/16; 10.0.0.0/20; 10.0.16.0/24; 10.192.0.0/10; 10.2.0.0/ 24; 10.129.1.0/24) ดังนั้นฉันคาดว่าที่อยู่ต้นทางในรายการ UnrecognisedRDP จะอยู่ใน blackholescanners ที่ตั้งค่าไว้ แต่ไม่ใช่ รายการ blackholescanners ไม่เต็ม (จำนวนรายการ: 19356 maxelem 65536)

ฉันได้ลองเพิ่มกฎที่ซ้ำกันใน กรอง ตาราง ซึ่งไปข้างหน้า ห่วงโซ่เหนือกฎที่เพิ่มที่อยู่ไปยังตาราง UnrecognisedRDP หลังจากล้างชุด UnrecognisedRDP ฉันยังคงพบรายการที่เพิ่มไปยังชุด UnrecognisedRDP ซึ่งไม่ได้เพิ่มในชุด blackholescanners ตัวนับแพ็กเก็ตแสดงว่ากฎทั้งสองเริ่มทำงานแล้ว

ดังนั้นคำถามของฉันคือ: ทำไมไม่มีกฎกับ -j SET --add-set blackholescanners src อัพเดทชุดเรียบร้อย?

cn flag
Bob
ขนาดสูงสุดของตารางแฮช [ipset](https://ipset.netfilter.org/ipset.man.html) กำหนดไว้เมื่อสร้าง เท่ากับค่าสูงสุดหรือไม่ และรายการเพิ่มเติมที่เกินกว่าค่าสูงสุดนั้นสามารถละทิ้งได้หรือไม่
Rob Lambden avatar
be flag
ขอบคุณ @Bob แต่ในสถานการณ์นี้ชุดไม่เต็ม - ฉันจะอัปเดตคำถามเพื่อรวมข้อมูลสำคัญนี้ไว้ด้วย!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา