Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
  настройка
  подсчёт трафика
  программы
  почтовые системы
  Шелезяки
  Мелочи
  Файловая система
  WWW
  Security
  немного о безопасности
  VPN (PoPToP)
  PortSentry
  sysctl
  vtund
  ipfwcount
  FreeBSD & DSA
  mpd – легко и просто!
  mpd + freeradius + mysql
  Бронированный FreeBSD
  sshit
  DSL-G804V и FreeBSD 6.2
  portaudit
  OpenVPN
  Bluetooth proximity monitor
  ESET NOD32
  GEOM-ELI
  stunnel для pop3,smtp
  NOD32 mirror
  mpd5 + ipfw-nat
  Openvpn 2 офиса
  Hotspot
  OpenVPN+авторизация
  termlog
  mpd5 + сжатие и шифрование
  ipsec_vpnc
  TOR Сервер
  Snort на FreeBSD
  Arpwatch
  Установка и настройка OpenVPN
  NOD32_mirror_v2
  Fail2ban
  IPSec
  Перенос OpenVPN сервера
  Wpa/WPA2-Radius+EAP-TLS/EAP-PEAP
  nod32 mirror script
  MAC + apache
  system
  Games Servers
  X11
  Programming
Очумелые Ручки
OpenBSD
Cisco


www.lissyara.su —> статьи —> FreeBSD —> Security —> ipfwcount

ipfwcount - подсчёт заблокированных пакетов по хостам и по портам.

Автор: lissyara.


    Нашёл в портах небольшую програмку, позволяющую выводить `top` по заблокированным пакетам с хостов и сайтов - данные берёт из лога IPFW. Может оказаться полезной, чтоб глянуть - что происходило на хосте за прошедшее время.
/usr/home/lissyara/>cd /usr/ports/
/usr/ports/>make search name='ipfwcount'
Port:   ipfwcount-0.2.1_1
Path:   /usr/ports/security/ipfwcount
Info:   Summarise ipfw logs by counting and sorting the fields
Maint:  freebsd@deathbeforedecaf.net
B-deps: perl-5.8.8
R-deps: perl-5.8.8
WWW:    http://deathbeforedecaf.net/misc/ports

/usr/ports/>cd /usr/ports/security/ipfwcount
/usr/ports/security/ipfwcount/>make && make install && make clean

После инсталляции выводятся инструкции:

  To summarise ipfw(8) logs in your daily security check:

  * Copy /usr/local/share/examples/ipfwcount/100.ipfwcount to
    /usr/local/etc/periodic/security

  * Add the line

      daily_status_security_ipfwcount_enable="YES"

    to /etc/periodic.conf

Им и следуем:
/usr/local/share/examples/ipfwcount/>cp 100.ipfwcount \
? /usr/local/etc/periodic/security/
/usr/local/share/examples/ipfwcount/>cd /etc
/etc/>echo 'daily_status_security_ipfwcount_enable="YES"' >> /etc/periodic.conf
/etc/>echo 'daily_status_security_ipfwcount_top="50"' >> /etc/periodic.conf

Вторая строка - не по инструкции (вернее из самого файла что скопировали) - определяет сколько IP выводить в `топе`. Вообще, для того чтобы это работало надо во всех правилах, типа
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}

заменить просто `deny` на `deny log`:
${FwCMD} add deny log ip from ${NetIn} to any in via ${LanOut}
${FwCMD} add deny log ip from ${NetOut} to any in via ${LanIn}

и перезапустить файрволл:
sh /etc/rc.firewall > /dev/null &

Также не забудте поставить ограничения в sysctl на количество логов - иначе могут весь раздел /var засрать:
/usr/home/lissyara/>sysctl net.inet.ip.fw.verbose_limit=1000
net.inet.ip.fw.verbose_limit: 100 -> 1000
/usr/home/lissyara/>

Надо заметить - что сколько по дефолту оно - я даже не знаю, но себе обычно ставлю тыщщу... Хотя - во всех мануалах рекомендуют сотню - правда оснований никаких не приводят... Короче - своей башкой надо думать.
   Кстати - логировать внутренний интерфейс, наверное, не самая лучшая идея - там очень много подропаных пакетов - потому в первой десятке всегда будут внутренние сайты. Лучше логи писать тока с внешнего интерфейса, или выборочно а не по всем правилам. Кстати, вторая строчка, что добавляли в /etc/periodic.conf - с числом 50, это как раз число - какой топ выводить - по дефолту top10, но мне показалось мало, потому сделал top50.
   Ну и всё. Остаётся ждать ночью отчёта о безопасности, на почту. Но - никто не запрещает его запустить руками и посмотреть сразу - что получилось. Мне, правда пришлось скрипт подрихтовать - у меня стоит своя ротация логов - поменял пути.

   P.S. По итогам первой ночи - отчёта не дождался :) Вернее получил такое:
Top 50 denied hosts (ipfw): 
ipfwcount: not found

Top 50 denied ports (ipfw): 
ipfwcount: not found

Путь-то в скрипте был неполный, потому в файле /etc/crontab дописываем путь, т.е. меняем такую строку:
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin

на такую:
PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin

и обрадовать демона крона:
killall -1 cron



размещено: 2006-05-23,
последнее обновление: 2006-05-25,
автор: lissyara

оценить статью:

mcat, 2006-06-08 в 0:28:30

Наверняка имелась ввиду IPFCOUNT ?

lissyara, 2006-06-08 в 1:25:23

нет. Всё верно. IPFW :)

mick, 2007-02-23 в 12:32:34

Насколько мне известно, то "радовать демона крона" не нужно. Он сам каждую минуту перечитывает свой кофиг

lissyara, 2007-02-23 в 13:17:19

токачто проверил.
ни системный ни пользовательские до kill -1 не видели новых заданий.

mva, 2007-10-30 в 8:00:26

если править через crontab -e сам перечитает

xeo, 2008-02-08 в 18:00:35

К слову о перезапуске крона:
man cron
Additionally, cron checks each minute to see if its spool directory's modification time (or the modification time on /etc/crontab) has changed, and if it has, cron will then examine the modification time on all crontabs and reload those which have changed.


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 17 чел.
За последние 30 мин было: 82 человек
За сегодня было
117 показов,
38 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0373 секунд
Из них PHP: 25%; SQL: 75%; Число SQL-запросов: 77 шт.
Исходный размер: 100476; Сжатая: 18155