Điểm:0

Địa chỉ không phải lúc nào cũng được thêm vào bộ (iptables)

lá cờ be

Chúng tôi sử dụng iptables với ipset danh sách trên ranh giới mạng của chúng tôi. Nói chung điều này hoạt động tốt. Tôi đã cập nhật các quy tắc để nắm bắt thêm hoạt động và nhận thấy rằng quy tắc cập nhật một bộ dường như không phải lúc nào cũng cập nhật thành công bộ đó. Quy tắc là trong ĐẶT TRƯỚC chuỗi của mang nặng đẻ đau cái bàn.

Đây là quy tắc (từ iptables -L -nv -t mangle):

SET all -- * * 0.0.0.0/0 0.0.0.0/0 match-set BlackHoleTargets dst ! bộ ghép nối PrivateNets src bộ quét lỗ đen bổ sung src

trong đó BlackHoleTargets là một bộ băm: ip liệt kê các địa chỉ ip không được xuất bản; PrivateNets là một bộ hash:net liệt kê các mạng con được sử dụng nội bộ (không thể định tuyến) và blackholescanners là một bộ hash:ip để nắm bắt địa chỉ của các máy thăm dò các địa chỉ chưa được công bố.

Tôi đã nghĩ rằng điều này đang hoạt động tốt - sau khi xóa danh sách máy quét lỗ đen, nó bắt đầu lấp đầy nhanh chóng. Nó có thời gian chờ 12 giờ và thường chứa ~ 22 nghìn địa chỉ. Hiện tại kích thước tối đa của bộ này là 65536 phần tử.

Là một phần của việc sửa đổi các quy tắc, chúng tôi đã giới thiệu một quy tắc mới dành riêng cho các máy chủ RDP với mục đích chỉ cho phép một danh sách động các máy khách được ủy quyền kết nối. Là một phần của điều này, chúng tôi có một quy tắc để nắm bắt các phiên RDP không được cấp phép với quy tắc này trong lọc cái bàn PHÍA TRƯỚC chuỗi (đầu ra từ iptables -L -nv):

SET tcp -- * * 0.0.0.0/0 xxx.xxx.xxx.0/24 tcp dpt:3389 multiport sports 1024:65535 add-set UnrecognisedRDP src,dst

ở đâu xxx.xxx.xxx.0/24 là một phạm vi trong mạng của chúng tôi và UnrecognisedRDP là một hàm băm:net,net được đặt để theo dõi các phiên này.

Tôi thấy các mục trong bảng UnrecognisedRDP nơi địa chỉ đích được liệt kê trong BlackHoleTargets - Tôi cho rằng địa chỉ nguồn phải nằm trong máy quét lỗ đen nhưng không phải vậy và nó cũng không khớp với danh sách PrivateNets.

Ví dụ: chúng tôi có nhiều mục nhập trong bảng UnrecognisedRDP (đối với các địa chỉ đích khác nhau) cho một địa chỉ bắt đầu từ 192.241.217 (đã giữ lại Địa chỉ IP đầy đủ). Địa chỉ nguồn không khớp với bộ PrivateNet (chứa các mạng con sau: 10.0.128.0/20; 10.1.0.0/16; 10.0.0.0/20; 10.0.16.0/24; 10.192.0.0/10; 10.2.0.0/ 24; 10.129.1.0/24) nên tôi cho rằng địa chỉ nguồn trong danh sách UnrecognisedRDP nằm trong bộ máy quét lỗ đen nhưng thực tế không phải vậy. Danh sách máy quét hố đen chưa đầy (số lượng mục: 19356 maxelem 65536).

Tôi đã thử thêm một quy tắc trùng lặp vào lọc cái bàn PHÍA TRƯỚC chuỗi ngay phía trên quy tắc thêm địa chỉ vào bảng UnrecognisedRDP. Sau khi xóa bộ UnrecognisedRDP, tôi vẫn tìm thấy các mục đã được thêm vào bộ UnrecognisedRDP chưa được thêm vào bộ blackholescanners. Bộ đếm gói hiển thị cả hai quy tắc đã kích hoạt.

Vì vậy, câu hỏi của tôi là: Tại sao quy tắc không có -j SET --add-set blackholescanners src cập nhật thành công bộ?

lá cờ cn
Bob
Kích thước tối đa của bảng băm [ipset](https://ipset.netfilter.org/ipset.man.html) được xác định khi tạo, liệu mức tối đa đó có đạt được không và các mục bổ sung vượt quá mức tối đa đó có thể bị loại bỏ không?
Rob Lambden avatar
lá cờ be
Cảm ơn @Bob nhưng trong trường hợp này, bộ này không đầy đủ - tôi sẽ cập nhật câu hỏi để bao gồm thông tin quan trọng này!

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.