Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Kako prekinuti konekcije Established?

[es] :: Linux :: Kako prekinuti konekcije Established?

[ Pregleda: 2071 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Kako prekinuti konekcije Established?11.07.2011. u 14:01 - pre 154 meseci
Imam distribuciju Red Hat Enterprise Linux Server release 5.3 .

Sa netstat -an vidim jako puno konekcija s dvije IP adrese koje su spojene na bind (dns).

Te dvije IP adrese sam ubacila u iptables i sve radim DROP za njih, restartala sam named međutim konekcije se ponovno zakače.

Najgore PID je isti za sve ESTABLISHED konekcije i to je PID od named-a. Kako okončati uspostavljene konekcije, jer toliko su se nakačili na dns da sam imala broj klijenata koji je dosezao maksimum, znači dns je bio zagušen.

Kako uz uspostavljenu konekciju odrediti koji je proces uz to i killat ga?
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: Kako prekinuti konekcije Established?11.07.2011. u 14:14 - pre 154 meseci
Instaliraj dsniff paket i onda pomocu tcpkill komande uradi sledece,

tcpkill host ip-tog-hosta-koji-te-gusi
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?11.07.2011. u 14:27 - pre 154 meseci
To je udp konekcija, može li i za udp?

Pošto mi je to na poslu , hm ima li način bez instaliranja paketa na server?
 
Odgovor na temu

anon68680

Član broj: 68680
Poruke: 528
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: Kako prekinuti konekcije Established?11.07.2011. u 14:44 - pre 154 meseci
UDP ne uspostavlja konekciju, thats the beauty of it :) Daj da vidimo kako si iptables podesila, verovatno je tu greska. Trebalo bi ovako nekako:
iptables -A INPUT -s ip -p udp --destination-port port -j DROP

Medjutim, DNS koristi i TCP u retkim slucajevima, predlazem ti da blokiras i tcp.

 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?12.07.2011. u 07:38 - pre 154 meseci

Evo kako mi izgleda iptables (na početku sam stavila dva retka da radi DROP za te dvije ip koje su radile ESTABLISHED)


Chain INPUT (policy ACCEPT)


iptables -A INPUT -s ip -j DROP *
iptables -A INPUT -s ip -j DROP *


iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited


* te redove sam dodala da blokiraju

Ako nije naveden destination port da li se sve onda blokira ili bih ipak trebala staviti

iptables -A INPUT -s ip -p udp --destination-port port -j DROP



iptables -A INPUT -s ip -p udp --destination-port 53 -j DROP
iptables -A INPUT -s ip -p tcp --destination-port 53 -j DROP
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: Kako prekinuti konekcije Established?12.07.2011. u 16:39 - pre 154 meseci
Ovo mora da radi.
Code:
iptables -A INPUT -s x.x.x.x -p tcp --dport 53 -j DROP
iptables -A INPUT -s x.x.x.x -p udp --dport 53 -j DROP


Kakav je status kod tebe?
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?13.07.2011. u 08:13 - pre 154 meseci
Ja sam bila stavila u iptables da blokira sve:

iptables -A INPUT -s ip -j DROP
iptables -A INPUT -s ip -j DROP


a ne

iptables -A INPUT -s x.x.x.x -p tcp --dport 53 -j DROP
iptables -A INPUT -s x.x.x.x -p udp --dport 53 -j DROP

I problem je ostao isti, oborila named, u trenutku su se izgubile Established veza da bi se opet nakačile te ip adrese i opet je bilo puno Established veza.
Kao da iptables ne pomaže ili je trebalo ipak precizno navesti po destination port 53 i tcp i udp.

Jednostavno se sve smirilo nakon sat kad su se prestali kačit i nestalo je tih Established veza.
 
Odgovor na temu

Miroslav Strugarevic

Član broj: 5038
Poruke: 2689



+68 Profil

icon Re: Kako prekinuti konekcije Established?13.07.2011. u 16:17 - pre 154 meseci
Jel ovaj post ima veze sa tvojim prethodnim Kako blokirati IPv6 adresu u linuxu?
 
Odgovor na temu

mulaz
Ljubljana

Član broj: 47602
Poruke: 2239
212.235.185.*

Jabber: mulaz@elitesecurity.org
Sajt: www.mulaz.org


+184 Profil

icon Re: Kako prekinuti konekcije Established?13.07.2011. u 17:58 - pre 154 meseci
Citat:
Miroslav StrugarevicKako blokirati IPv6 adresu u linuxu?


man ip6tables
Bolje ispasti glup nego iz aviona
http://www.mulaz.org/
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?14.07.2011. u 07:41 - pre 154 meseci
Ovaj post nema veze s prethodnim, rješila sam prije slučaj tako što sam rekla dns da se samo diže i podržava ipv4. S tim je problem napada s ipv6 adrese rješen.

Medjutim, ovo je drugi "napad", jednostavno ne znam kako eliminirati ove Established konekcije.
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?14.07.2011. u 09:04 - pre 154 meseci
Možda da se ipak stavi preciznije možda bi onda veze Established nestale:

iptables -A INPUT -s ip -p udp --destination-port 53 --state ESTABLISHED -j DROP
iptables -A INPUT -s ip -p tcp --destination-port 53 --state ESTABLISHED -j DROP ????



zbog onog mog zadnjeg retka u iptables

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?15.07.2011. u 08:50 - pre 154 meseci
Stavila sam:

iptables -A INPUT -s ip -p udp --destination-port 53 --state ESTABLISHED -j DROP
iptables -A INPUT -s ip -p tcp --destination-port 53 --state ESTABLISHED -j DROP

Ne pomaže iptables, adresa i dalje ostaje nakačena, čak i kad oborim named, trenutno se skine i opet se nakači...

Jel postoji ikakav način da se to raskine?
 
Odgovor na temu

anon68680

Član broj: 68680
Poruke: 528
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: Kako prekinuti konekcije Established?15.07.2011. u 09:47 - pre 154 meseci
Daj lepo output od iptables -t filter -L nesto mi smrdi tu. Uzgred, da li su te ip adrese lokalne ili javne?
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?15.07.2011. u 11:04 - pre 154 meseci
iptables --list

Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-Named udp -- anywhere anywhere multiport dports domain,rndc
fail2ban-SSH tcp -- anywhere anywhere tcp dpt:ssh
fail2ban-Named tcp -- anywhere anywhere multiport dports domain,rndc
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 anywhere
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
DROP all -- 77.221.2.189 anywhere
DROP all -- 77.221.16.6 anywhere
DROP all -- 218.85.132.176 anywhere
DROP all -- dns.bizcn.com anywhere
DROP all -- 10.100.0.0/16 anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:domain
ACCEPT tcp -- * anywhere tcp dpts:cvd:8410
ACCEPT tcp -- * anywhere tcp dpts:asterix:8620
ACCEPT tcp -- * anywhere tcp spts:1024:65535 dpt:ssh
ACCEPT udp -- anywhere anywhere state NEW udp dpt:domain
ACCEPT tcp -- * anywhere tcp dpt:nrpe
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited



To je cijela lista iptables

Ovo na početku što je DROP te adrese su predstavljale problem. ( * umjesto adresa to su IP adrese u firmi koje nisam navela)
 
Odgovor na temu

elizabetaz

Član broj: 284678
Poruke: 45
*.tel.net.ba.



Profil

icon Re: Kako prekinuti konekcije Established?15.07.2011. u 11:14 - pre 154 meseci
Adrese koje su bile problem su javne npr. 218.93.205.110
 
Odgovor na temu

[es] :: Linux :: Kako prekinuti konekcije Established?

[ Pregleda: 2071 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.