Приветствую. Пожалуй, стоит напомнить, что в
прошлой части мы рассмотрели следующие возможности:

1. Определение нескольких портов в одном правиле
2. Сбалансированная загрузка
3. Ограничение числа подключений

Тем, кто ещё не ознакомился с данными дополнениями или забыл, о чём шла речь, настоятельно советую перечитать первую часть. Далее же речь пойдёт о следующих возможностях: 

1. Расширения сравнения и фильтрации по списку недавних подключений
2. Фильтрация по строке в полезных данных пакета
3. Правила, действующие по расписаниию

1. Расширения сравнения и фильтрации по списку недавних подключений

Используя подобное расширение можно, как и следовало ожидать, создавать динамические списки фильтрации IP-адресов на основе неких заданных условий и применять к ним соответствующие правила. Выражаясь более просто – это расширение даёт чрезвычайно удобный инструмент для создания пассивной IDS, которая способна, к примеру, перекрывать доступ к некоторому порту, к которому за определённый промежуток времени обращались более n раз. Пусть некий “bad boy” сканирует диапазон IP адресов, натыкается на нашу машину, и его сканнер портов несколько раз обращается к ней в поисках открытого 139 порта. Прекратить творящееся безобразие можно используя расширение сравнения по списку недавних подключений:

-A FORWARD -m recent --name portscan --rcheck --seconds 300 -j DROP
-A FORWARD -p tcp -i eth0 --dport 139 -m recent --name portscan --set -j DROP

Теперь все пакеты фильтруются в течение 300 секунд. Поддерживаются также такие варианты задания этого правила:

--name name

Имя списка, чтобы хранить в нём IP адреса или сравнивать их. Если не заданно имя, используется значение по умолчанию с именем
DEFAULT.

--set

Это добавит исходный адрес пакета в список. Если исходный адрес уже находится в списке, это обновит существующее вхождение. 

--rcheck

Проверить, находится ли исходный адрес пакета в настоящее время в списке.

--update

Проверить, находится ли исходный адрес пакета в настоящее время в списке. Если да, то вхождение будет обновлено, и правило возвратит истину. 

--remove

Проверит, находится ли исходный адрес пакета в настоящее время в списке и если так, то адрес будет удален из списка, и правило вернёт истину. 

--seconds seconds

Эта опция должна использоваться только вместе с - rcheck или –update. Это сузит список поиска соответствий до предела последнего данного количества секунд.

--hitcount hits

Эта опция также должна использоваться только вместе с - rcheck или –update. Если используется, то это сузит список соответствий до количества вхождений с равными или больше или равным количеством пришедших пакетов. Эта опция может использоваться наряду с --seconds, чтобы создать более узкий критерий соответствия, требующий некоторого числа обращений в пределах определенной временной рамки.

2. Фильтрация по строке в данных пакета

Это расширение позволяет производить поиск подстроки в полезных данных пакета. Хотя этому расширению действительно можно найти полезное применение, я советую вам работать с ним как можно аккуратней. Допустим, наш внешний firewall, построенный на Линуксе, защищает внутреннюю сеть, где есть несколько машин под управлением Windows и мы хотели бы блокировать все исполняемые файлы, которые могут быть получены из внешней сети. Можно попытаться использовать что-то вроде этого:

-A FORWARD -m string --string '.com' -j DROP
-A FORWARD -m string --string '.exe' -j DROP

Но это доставит вам несколько неприятных моментов: 

  • Если '.com' или '.exe' файл разбит на два пакета данных, то подобное правило не принесёт желаемого результата и пакет не будет отфильтрован.
  • Любой пакет, содержащий такую подстроку, включая HTTP ответы и почту, будет заблокирован.

Короче, handle with care!

3. Правила, действующие по расписанию

Используя модуль времени, мы можем применять правила фильтрации, основанные на времени дня и дне недели. Это может использоваться для ограничения доступа пользователям к сети, например, чтобы во время обеда выполнить архивацию данных или обслуживание системы.
Следующий пример запрещает доступ к сети в течение часа:

-A FORWARD -p tcp -m multiport --dport http,https -o eth0 -i eth1 \
-m time --timestart 12:30 --timestop 13:30 --days Mon,Tue,Wed,Thu,Fri -j DROP

Понятно, что время является 24-часовыми с форматом HH:MM. День - отделенный запятыми список, который зависит от регистра символов и может состоять из Mon, Tue, Wed, Thu, Fri, Sat и/или Sun.

Продолжение следует…

Check Also

Hack the web! Как проверить сайт на уязвимости и как их эксплуатируют

Взлом сайтов — один из самых распространенных типов атак. Если тебе интересно, как взламыв…

Оставить мнение