|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> Security
—> ipfwcount
ipfwcount - подсчёт заблокированных пакетов по хостам и по портам.
Автор: lissyara.
Нашёл в портах небольшую програмку, позволяющую выводить `top` по заблокированным пакетам с хостов и сайтов - данные берёт из лога IPFW. Может оказаться полезной, чтоб глянуть - что происходило на хосте за прошедшее время.
/usr/home/lissyara/>cd /usr/ports/
/usr/ports/>make search name='ipfwcount'
Port: ipfwcount-0.2.1_1
Path: /usr/ports/security/ipfwcount
Info: Summarise ipfw logs by counting and sorting the fields
Maint: freebsd@deathbeforedecaf.net
B-deps: perl-5.8.8
R-deps: perl-5.8.8
WWW: http://deathbeforedecaf.net/misc/ports
/usr/ports/>cd /usr/ports/security/ipfwcount
/usr/ports/security/ipfwcount/>make && make install && make clean
| После инсталляции выводятся инструкции:
To summarise ipfw(8) logs in your daily security check:
* Copy /usr/local/share/examples/ipfwcount/100.ipfwcount to
/usr/local/etc/periodic/security
* Add the line
daily_status_security_ipfwcount_enable="YES"
to /etc/periodic.conf
| Им и следуем:
/usr/local/share/examples/ipfwcount/>cp 100.ipfwcount \
? /usr/local/etc/periodic/security/
/usr/local/share/examples/ipfwcount/>cd /etc
/etc/>echo 'daily_status_security_ipfwcount_enable="YES"' >> /etc/periodic.conf
/etc/>echo 'daily_status_security_ipfwcount_top="50"' >> /etc/periodic.conf
| Вторая строка - не по инструкции (вернее из самого файла что скопировали) - определяет сколько IP выводить в `топе`. Вообще, для того чтобы это работало надо во всех правилах, типа
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}
| заменить просто `deny` на `deny log`:
${FwCMD} add deny log ip from ${NetIn} to any in via ${LanOut}
${FwCMD} add deny log ip from ${NetOut} to any in via ${LanIn}
| и перезапустить файрволл:
sh /etc/rc.firewall > /dev/null &
| Также не забудте поставить ограничения в sysctl на количество логов - иначе могут весь раздел /var засрать:
/usr/home/lissyara/>sysctl net.inet.ip.fw.verbose_limit=1000
net.inet.ip.fw.verbose_limit: 100 -> 1000
/usr/home/lissyara/>
| Надо заметить - что сколько по дефолту оно - я даже не знаю, но себе обычно ставлю тыщщу... Хотя - во всех мануалах рекомендуют сотню - правда оснований никаких не приводят... Короче - своей башкой надо думать.
Кстати - логировать внутренний интерфейс, наверное, не самая лучшая идея - там очень много подропаных пакетов - потому в первой десятке всегда будут внутренние сайты. Лучше логи писать тока с внешнего интерфейса, или выборочно а не по всем правилам. Кстати, вторая строчка, что добавляли в /etc/periodic.conf - с числом 50, это как раз число - какой топ выводить - по дефолту top10, но мне показалось мало, потому сделал top50.
Ну и всё. Остаётся ждать ночью отчёта о безопасности, на почту. Но - никто не запрещает его запустить руками и посмотреть сразу - что получилось. Мне, правда пришлось скрипт подрихтовать - у меня стоит своя ротация логов - поменял пути.
P.S. По итогам первой ночи - отчёта не дождался :) Вернее получил такое:
Top 50 denied hosts (ipfw):
ipfwcount: not found
Top 50 denied ports (ipfw):
ipfwcount: not found
| Путь-то в скрипте был неполный, потому в файле /etc/crontab дописываем путь, т.е. меняем такую строку:
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin
| на такую:
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin
| и обрадовать демона крона:
размещено: 2006-05-23,
последнее обновление: 2006-05-25,
автор: lissyara
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
|
Статистика сайта
|
Сейчас на сайте находится: 60 чел.
|
За последние 30 мин было: 267 человек
|
За сегодня было 4335 показов, 1099 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
|
Комментарии пользователей [6 шт.]