Chúng tôi sử dụng iptables với ipset danh sách trên ranh giới mạng của chúng tôi. Nói chung điều này hoạt động tốt. Tôi đã cập nhật các quy tắc để nắm bắt thêm hoạt động và nhận thấy rằng quy tắc cập nhật một bộ dường như không phải lúc nào cũng cập nhật thành công bộ đó. Quy tắc là trong ĐẶT TRƯỚC chuỗi của mang nặng đẻ đau cái bàn.
Đây là quy tắc (từ iptables -L -nv -t mangle):
SET all -- * * 0.0.0.0/0 0.0.0.0/0 match-set BlackHoleTargets dst ! bộ ghép nối PrivateNets src bộ quét lỗ đen bổ sung src
trong đó BlackHoleTargets là một bộ băm: ip liệt kê các địa chỉ ip không được xuất bản; PrivateNets là một bộ hash:net liệt kê các mạng con được sử dụng nội bộ (không thể định tuyến) và blackholescanners là một bộ hash:ip để nắm bắt địa chỉ của các máy thăm dò các địa chỉ chưa được công bố.
Tôi đã nghĩ rằng điều này đang hoạt động tốt - sau khi xóa danh sách máy quét lỗ đen, nó bắt đầu lấp đầy nhanh chóng. Nó có thời gian chờ 12 giờ và thường chứa ~ 22 nghìn địa chỉ. Hiện tại kích thước tối đa của bộ này là 65536 phần tử.
Là một phần của việc sửa đổi các quy tắc, chúng tôi đã giới thiệu một quy tắc mới dành riêng cho các máy chủ RDP với mục đích chỉ cho phép một danh sách động các máy khách được ủy quyền kết nối. Là một phần của điều này, chúng tôi có một quy tắc để nắm bắt các phiên RDP không được cấp phép với quy tắc này trong lọc cái bàn PHÍA TRƯỚC chuỗi (đầu ra từ iptables -L -nv):
SET tcp -- * * 0.0.0.0/0 xxx.xxx.xxx.0/24 tcp dpt:3389 multiport sports 1024:65535 add-set UnrecognisedRDP src,dst
ở đâu xxx.xxx.xxx.0/24 là một phạm vi trong mạng của chúng tôi và UnrecognisedRDP là một hàm băm:net,net được đặt để theo dõi các phiên này.
Tôi thấy các mục trong bảng UnrecognisedRDP nơi địa chỉ đích được liệt kê trong BlackHoleTargets - Tôi cho rằng địa chỉ nguồn phải nằm trong máy quét lỗ đen nhưng không phải vậy và nó cũng không khớp với danh sách PrivateNets.
Ví dụ: chúng tôi có nhiều mục nhập trong bảng UnrecognisedRDP (đối với các địa chỉ đích khác nhau) cho một địa chỉ bắt đầu từ 192.241.217 (đã giữ lại Địa chỉ IP đầy đủ). Địa chỉ nguồn không khớp với bộ PrivateNet (chứa các mạng con sau: 10.0.128.0/20; 10.1.0.0/16; 10.0.0.0/20; 10.0.16.0/24; 10.192.0.0/10; 10.2.0.0/ 24; 10.129.1.0/24) nên tôi cho rằng địa chỉ nguồn trong danh sách UnrecognisedRDP nằm trong bộ máy quét lỗ đen nhưng thực tế không phải vậy. Danh sách máy quét hố đen chưa đầy (số lượng mục: 19356 maxelem 65536).
Tôi đã thử thêm một quy tắc trùng lặp vào lọc cái bàn PHÍA TRƯỚC chuỗi ngay phía trên quy tắc thêm địa chỉ vào bảng UnrecognisedRDP. Sau khi xóa bộ UnrecognisedRDP, tôi vẫn tìm thấy các mục đã được thêm vào bộ UnrecognisedRDP chưa được thêm vào bộ blackholescanners. Bộ đếm gói hiển thị cả hai quy tắc đã kích hoạt.
Vì vậy, câu hỏi của tôi là: Tại sao quy tắc không có -j SET --add-set blackholescanners src cập nhật thành công bộ?
