ataque brute-force postfix

opencag
(usa Outra)

Enviado em 02/12/2014 - 19:50h

Olá,

Tenho uma regra de PREROUTING que redireciona a porta 25 para um IP na mesma máquina (interface virtual).

O problema é que estou sofrendo ataque de brute-force e o load do servidor está um pouco alto.

Como a regra é PREROUTING encaminhando tudo para o IP virtual na mesma máquina, não consigo bloquear o IP que está com brute-force através da regra INPUT.

Nem mesmo na FORWARD da eth1 de internet bloqueia o IP.

Alguém sabe o que devo fazer ?

buckminster
(usa Debian)

Enviado em 02/12/2014 - 20:53h

Se por interface virtual tu estás querendo dizer o alias formado por, por exemplo, eth1:0, não é uma interface virtual, mas somente um segundo IP para a mesma interface e o Iptables não reconhece alias, então tu precisas fazer um SOURCE NAT:

iptables -t nat -A POSTROUTING -s <sua rede>/<sua mascara> -j SNAT --to <seu ip valido>
iptables -A INPUT -s <ip_a_ser_bloqueado> -j DROP

Como não sei das tuas configurações, acredito que tu devas colocar essas regras depois da tua regra de PREROUTING para a porta 25.
A primeira regra faz o compartilhamento da internet do alias, talvez tu devas depois devolver o tráfego para a interface eth1.

Ou

tu vais ter que bloquear na entrada usando o IP de destino jogando para o tráfego de entrada e especificando o endereço IP. Por exemplo, supondo que o IP a ser bloqueado é 10.1.1.2:

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -d 10.1.1.2 -j DROP
iptables -A INPUT -i eth1 -j ACCEPT

Porém, isso seria um paliativo, pois o atacante pode mudar o IP. Aconselho tu a bloquear a porta 25 e usar a porta 587.

http://www.antispam.br/porta25/tire-suas-duvidas/

http://wiki.locaweb.com.br/pt-br/Diferen%C3%A7as_entre_as_portas_SMTP_25_e_587

ou tu podes instalar o Fail2Ban:

http://brito.blog.incolume.com.br/2011/07/protecao-utilizando-fail2ban-contra.html

http://www.guiadoti.com/2014/07/bloqueando-brute-force-com-o-fail2ban/

ou tu podes usar o próprio Posfix:

http://www.linuxadm.com.br/2009/11/30/impedir-saida-de-emails-forjados-no-postfix/ <<< adapte para os teus propósitos;

ou faça uma mescla de tudo isso.

opencag
(usa Outra)

Enviado em 03/12/2014 - 13:33h

Entendi... é que utilizo essas regras a muitos anos:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 587 -j DNAT --to 192.168.0.253

 

Essa regra direcciona para outro IP na mesma máquina, o motivo da regra é para entrar pelo 253 memo. foi criado isso devido algumas blacklist do assunto e e-mails que não são verificadas através do IP interno. porém tudo que vier do 253 o filtro é aplicado.

buckminster
(usa Debian)

Enviado em 03/12/2014 - 16:42h

Então, se tu queres em paliativo até resolver a situação de vez, supondo que 192.168.0.253 seja o IP do alias, bloqueie o IP atacante dessa forma:

iptables -I INPUT -i eth0 -d ip_atacante -j DROP
iptables -I INPUT -i eth0 -s ip_atacante -j DROP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 587 -j DNAT --to 192.168.0.253

opencag
(usa Outra)

Enviado em 03/12/2014 - 18:37h

pois é... eu já tentei isso, porém a regra do PREROUTING está abaixo da regra INPUT.

Tem algum problema ?

buckminster
(usa Debian)

Enviado em 04/12/2014 - 00:29h

Problema nenhum. Eu coloquei -I, esse parâmetro coloca as regras no topo da chain.

opencag
(usa Outra)

Enviado em 04/12/2014 - 12:04h

estranho... ele não bloqueia com a regra INPUT...

tentei instalar o fail2ban, também não bloqueia..

o PREROUTING não verifica antes da INPUT, será que é isso o problema ?

buckminster
(usa Debian)

Enviado em 04/12/2014 - 12:10h

Posta aqui teu script do Iptables.

opencag
(usa Outra)

Enviado em 05/12/2014 - 15:24h

só um detalhe...

o iptables executa quando da o boot na maquina.

Os ips que estão atacando eu digito no ssh na hora.... não chego a executar novamente o script.

buckminster
(usa Debian)

Enviado em 05/12/2014 - 15:28h

A cada alteração no script do Iptables tu deves reiniciar ele.

opencag
(usa Outra)

Enviado em 05/12/2014 - 22:24h

Mas no caso, eu tenho o script iptables rodando perfeitamente, mas quando atacam eu quero usar por exemplo o fail2ban.

Ele não vai ficar reiniciando cada vez, ele fica adicionando regra por regra..

Quando eu reinicio meu script iptables zera tudo....

Pois esses ips ficam mudando o tempo todo, não gostaria de colocar no meu script iptables.

Bom acredito que eu já sei o motivo que não está negando os IPS que atacam...

É que quando o IP fica na mesma máquina (alias), e utilizando a regra PREROUTING como postei no tópico anterior, eu preciso liberar a 25 na INPUT e PREROUTING para funcionar.

Se eu libero somente na PREROUTING, não consigo conectar no servidor de outro servidor de e-mail. Neste caso quando utiliza o PREROUTING para mesma máquina precisa liberar a INPUT junto ou não funciona.

Já tentei liberar no FORWARD da placa de internet + PREROUTING mesmo assim a conexão remota para porta 25 só funciona liberando na INPUT + PREROUTING.

Acredito que este é o meu erro.

iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT

 

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.253

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 587 -j DNAT --to 192.168.0.253

 

buckminster
(usa Debian)

Enviado em 06/12/2014 - 20:33h

A questão é que o Iptables não reconhece alias e se ele não reconhece alias o Fail2Ban não irá acrescentar as regras.

Aconselho a colocar outra placa de rede no servidor, resolveria teus problemas.