Author Topic: Bloquear IP externo No Firewall  (Read 103 times)

Tiago

  • Zen Monk
  • **
  • Posts: 95
  • Karma: +6/-1
    • View Profile
Bloquear IP externo No Firewall
« on: January 20, 2020, 01:18:06 pm »
Galera em um outro tópico aberto aqui no forum, onde descrevo que estou com problemas com o serviço IDS/IPS, porém tenho verificado que meu servidor tem sofrido tentativas de ataque de força bruta de vários IP's inclusive esse 185.156.177.47, que fica tentando logar em um serviço RDP que já alterei da 3389 para uma alta mas que ele acha e fica testando, a minha dúvida é como bloquear essas tentativas desse IP externo, já tentei por IPTABLES, ja tentei pelo firewall do zentyal, nas regras de acesso externo para o zentyal e não impede esse ip, alguém teria uma solução?

doncamilo

  • Zen Samurai
  • ****
  • Posts: 336
  • Karma: +69/-1
    • View Profile
Re: Bloquear IP externo No Firewall
« Reply #1 on: January 20, 2020, 07:53:36 pm »
 :)

¿Podría explicar más detalladamente cómo procedió a bloquear esa IP desde el webadmin?

Tenga en cuenta que cada paquete se va filtrando por las diversas reglas del firewall hasta que encuentra una que le resulta aplicable. El paquete es, en ese momento, procesado. Aunque hubiera más adelante una regla para rechazarlo, si antes ha encontrado a una regla más genérica que le da paso a la red interna, el paquete habrá sido procesado por ésta y redirigido a su destino.

Por éso las reglas de carácter tan específico deben aparecer arriba del todo en la pila de reglas del Firewall. En este aspecto Zentyal hace un magnífico trabajo mostrando gráficamente el orden de aplicación de las reglas. Asegúrate de que la regla que rechaza los paquetes de esa IP está la primera de todas en la pila de reglas del Firewall de Zentyal en "Reglas de filtrado desde las redes externas a Zentyal".

Recurrir directamente a Iptables le exigirá trabajar con los hooks que Zentyal ofrece para este tipo de tareas.  Lea ésto cuidadosamente si desea configurar su firewall manualmente:  https://doc.zentyal.org/en/appendix-c.html#hooks

¡Salud!
"That place... is strong with the
dark side of the Force.  A domain
of evil it is.  In you must go."

Yoda.

Tiago

  • Zen Monk
  • **
  • Posts: 95
  • Karma: +6/-1
    • View Profile
Re: Bloquear IP externo No Firewall
« Reply #2 on: January 21, 2020, 06:34:13 pm »
Olá Doncamilo obrigado mais uma vez por estar sempre ajudando aqui no forum. A regra de bloqueio foi criada conforme você mencionou, onde coloco a regra de bloqueio no topo, mas mesmo assim nao bloqueia o acesso. segue o link do Webadmin, pois nao consigo fazer upload de imagens aqui no forum.
https://ibb.co/HxN2ZwQ

doncamilo

  • Zen Samurai
  • ****
  • Posts: 336
  • Karma: +69/-1
    • View Profile
Re: Bloquear IP externo No Firewall
« Reply #3 on: January 21, 2020, 09:50:16 pm »
 :)

Perdona que te responda en español en el foro portugues, pero como mis habilidades con la hermosa lengua de Camoes se reducen a darle al Google Translate, posiblemente disculpéis mi atrevimiento considerando que siempre será mejor un buen texto en español que una mala traducción al portugués.  ;)

Lo único que se me ocurre es poner a prueba al firewall "a lo bestia" utilizando hping3. Te remito un montaje con algunas capturas de pantalla del laboratorio que he montado. Necesitarás Hping3 en la máquina cliente que utilizaremos para atacar Zentyal y tcpdump en Zentyal para ver el tráfico que se va generando en la interfaz externa. Habilita, igualmente, el módulo de Registros de Zentyal, concretamente los relativos al firewall.



La dirección de mi cliente es 192.168.1.40
La dirección de Zentyal es 192.168.1.54
La dirección 'fake' es la que te produce problemas

Syslog muestra estos registros:

Code: [Select]
Jan 21 21:42:02 lothlorien kernel: [ 1131.814236] zentyal-firewall log IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=185.156.177.47 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=23624 PROTO=TCP SPT=1542 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:02 lothlorien kernel: [ 1131.814241] zentyal-firewall drop IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=185.156.177.47 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=23624 PROTO=TCP SPT=1542 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:03 lothlorien kernel: [ 1132.814304] zentyal-firewall log IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=185.156.177.47 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=11072 PROTO=TCP SPT=1543 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:03 lothlorien kernel: [ 1132.814309] zentyal-firewall drop IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=185.156.177.47 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=11072 PROTO=TCP SPT=1543 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:04 lothlorien kernel: [ 1133.814330] zentyal-firewall log IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=185.156.177.47 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=3431 PROTO=TCP SPT=1544 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:04 lothlorien kernel: [ 1133.814343] zentyal-firewall drop IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=185.156.177.47 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=3431 PROTO=TCP SPT=1544 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:16 lothlorien kernel: [ 1146.358260] zentyal-firewall log IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=192.168.1.40 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=20087 PROTO=TCP SPT=2444 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:17 lothlorien kernel: [ 1147.358331] zentyal-firewall log IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=192.168.1.40 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=51711 PROTO=TCP SPT=2445 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
Jan 21 21:42:18 lothlorien kernel: [ 1148.358354] zentyal-firewall log IN=eth0 OUT= MAC=08:00:27:11:69:7a:1c:b7:2c:ab:9f:25:08:00 SRC=192.168.1.40 DST=192.168.1.54 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=31313 PROTO=TCP SPT=2446 DPT=3500 WINDOW=512 RES=0x00 SYN URGP=0 MARK=0x1
/192.168.1.40

La configuración de mi firewall:



Ya me dirás qué resultados has obtenido. Es un comportamiento muy extraño.

¡Salud!

« Last Edit: January 21, 2020, 09:52:16 pm by doncamilo »
"That place... is strong with the
dark side of the Force.  A domain
of evil it is.  In you must go."

Yoda.