Re: iptables и logwatch
Людмила Бандурина
bigdogs.ru на gmail.com
Пн Сен 29 08:29:13 UTC 2014
hosts.allow
sendmail: all
# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5) and
hosts_options(5).
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8) and rpc.mountd(8)
# for further information.
#
Письмо от logwatch
--------------------- SSHD Begin ------------------------
Illegal users from:
undef: 53 times
61.183.1.14: 11 times
122.225.109.116: 1 time
122.225.109.194: 1 time
122.225.109.195: 1 time
122.225.109.197: 1 time
193.238.157.34 (shadow.charon.at): 26 times
212.129.56.29 (212-129-56-29.rev.poneytelecom.eu): 12 times
Users logging in through sshd:
root:
83.220.237.97: 3 times
83.220.237.40: 2 times
Received disconnect:
11: Bye Bye [preauth] : 103 Time(s)
11: disconnected by user : 5 Time(s)
3: com.jcraft.jsch.JSchException: Auth fail [preauth] : 15 Time(s)
Refused incoming connections:
193.238.157.34 (193.238.157.34): 2 Time(s)
212.129.56.29 (212.129.56.29): 1 Time(s)
27.254.33.142 (27.254.33.142): 12 Time(s)
61.183.1.14 (61.183.1.14): 1 Time(s)
---------------------- SSHD End -------------------------
iptables -L -v
Chain INPUT (policy ACCEPT 74600 packets, 48M bytes)
pkts bytes target prot opt in out source
destination
0 0 DROP all -- any any 175.42.0.0/16
anywhere
15 600 DROP all -- any any 122.225.0.0/16
anywhere
12 480 DROP all -- any any
0.0.174.61.dial.tz.zj.dynamic.163data.com.cn/16 anywhere
104 5268 DROP all -- any any 222.77.0.0/16
anywhere
3 152 DROP all -- any any
0.0.40.120.broad.fz.fj.dynamic.163data.com.cn/16 anywhere
26 1348 DROP all -- any any
0.0.25.117.broad.fz.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any 110.80.0.0/16
anywhere
6 304 DROP all -- any any
0.0.161.220.broad.zz.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any
0.0.207.121.broad.qz.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any
0.0.58.59.broad.np.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any 125.77.0.0/16
anywhere
107 5452 DROP all -- any any
0.0.85.110.broad.qz.fj.dynamic.163data.com.cn/16 anywhere
114 5928 DROP all -- any any
0.0.84.110.broad.xm.fj.dynamic.163data.com.cn/16 anywhere
57 2920 DROP all -- any any
0.0.205.121.broad.qz.fj.dynamic.163data.com.cn/16 anywhere
3 152 DROP all -- any any
0.0.76.222.broad.fz.fj.dynamic.163data.com.cn/16 anywhere
48 2496 DROP all -- any any
0.0.87.110.broad.xm.fj.dynamic.163data.com.cn/16 anywhere
35 1804 DROP all -- any any
0.0.78.125.broad.qz.fj.dynamic.163data.com.cn/16 anywhere
45 2340 DROP all -- any any
0.0.32.120.broad.fz.fj.dynamic.163data.com.cn/16 anywhere
24 1216 DROP all -- any any
0.0.83.110.broad.fz.fj.dynamic.163data.com.cn/16 anywhere
284 14312 DROP all -- any any 27.150.0.0/16
anywhere
0 0 DROP all -- any any
0.0.125.76.gs.dail.jqgt.dynamic.163data.com.cn/16 anywhere
185 9424 DROP all -- any any 27.153.0.0/16
anywhere
93 4712 DROP all -- any any
0.0.89.110.broad.pt.fj.dynamic.163data.com.cn/16 anywhere
6 304 DROP all -- any any
0.0.204.121.board.fz.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any 120.36.0.0/16
anywhere
45 2280 DROP all -- any any
0.0.33.120.broad.qz.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any 59.60.0.0/16
anywhere
75 3800 DROP all -- any any
0.0.26.117.broad.qz.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any
0.0.154.27.broad.xm.fj.dynamic.163data.com.cn/16 anywhere
243 12312 DROP all -- any any
0.0.159.27.broad.xm.fj.dynamic.163data.com.cn/16 anywhere
0 0 DROP all -- any any
0.82.30.117.broad.xm.fj.dynamic.163data.com.cn/24 anywhere
0 0 DROP all -- any any
0.29.154.27.broad.xm.fj.dynamic.163data.com.cn/24 anywhere
0 0 DROP all -- any any
0.125.79.222.broad.xm.fj.dynamic.163data.com.cn/24 anywhere
0 0 DROP all -- any any
0.125.79.222.broad.xm.fj.dynamic.163data.com.cn/24 anywhere
0 0 DROP all -- any any
87.125.79.222.broad.xm.fj.dynamic.163data.com.cn anywhere
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 93209 packets, 124M bytes)
pkts bytes target prot opt in out source
destination
--
С уважением, Людмила
29 сентября 2014 г., 12:17 пользователь Alan Holt <berber.it на gmail.com>
написал:
> Где то есть ошибка, прикрипите полный iptables и лог.
> Так же при неправильной конфигурации демона ssh и чейнов файрвола такое
> бывает.
>
> используйте так же /etc/hosts.allow
>
> 2014-09-29 11:04 GMT+03:00 Людмила Бандурина <bigdogs.ru на gmail.com>:
>
>> Добрый день,
>>
>> Нет, никаких разрешений в списке нет, только еще несколько таких же
>> запретов на китайские подсети.
>>
>> 28 сентября 2014 г., 20:42 пользователь Dmitry Agafonov <
>> agafonovdmitry на gmail.com> написал:
>>
>> Добрый день!
>>>
>>> Одно правило ни о чем не говорит. Посмотрите на каунтеры и нумерацию
>>> (-v), может под правило вообще ничего не подходит и обрабатывается каким-то
>>> разрешением выше по списку.
>>>
>>> 28 сентября 2014 г., 19:55 пользователь Людмила Бандурина <
>>> bigdogs.ru на gmail.com> написал:
>>>
>>>> Здравствуйте всем!
>>>>
>>>> В iptables прописано:
>>>> Chain INPUT (policy ACCEPT)
>>>> target prot opt source destination
>>>> DROP all -- 122.225.0.0/16 anywhere
>>>>
>>>> Тем не менее в письме от logwatch вижу
>>>>
>>>> Illegal users from:
>>>> 122.225.109.116: 1 time
>>>> 122.225.109.194: 1 time
>>>> 122.225.109.195: 1 time
>>>> 122.225.109.197: 1 time
>>>>
>>>> Почему? Вроде бы если доступ закрыт файрволлом, эти попытки должны быть
>>>> в секции Refused incoming connections, разве нет?
>>>>
>>>> --
>>>> С уважением, Людмила
>>>>
>>>> --
>>>> ubuntu-ru mailing list
>>>> ubuntu-ru на lists.ubuntu.com
>>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>>>
>>>>
>>>
>>>
>>> --
>>> Dmitry Agafonov ~ http://agafonov.pp.ru/
>>>
>>> --
>>> ubuntu-ru mailing list
>>> ubuntu-ru на lists.ubuntu.com
>>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>>
>>>
>>
>>
>> --
>> С уважением, Людмила
>>
>> --
>> ubuntu-ru mailing list
>> ubuntu-ru на lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>>
>>
>
>
> --
> *בברכה, *
> *אלכס ברבר*
>
> *+9 72 54 285 952 3*
> *www.linuxspace.org* <http://www.linuxspace.org>
> *--*
> *Best regards.*
> *Alex Berber*
> *+9 72 54 285 952 3*
> *www.linuxspace.org* <http://www.linuxspace.org/>
>
> --
> ubuntu-ru mailing list
> ubuntu-ru на lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>
>
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20140929/d0867695/attachment-0001.html>
More information about the ubuntu-ru
mailing list