iptables Regeln werden gelöscht

[AXELB]

Hallo liebe Community,

ich stehe seit gestern vor einem etwas größeren Problem undzwar läuft aktuell ein Syn-Flood Angriff auf meinem Webserver. Daher nur der Webserver betroffen ist dachte ich mir, sperr doch einfach die IP's per IPtables aus. Leider funktionieren solche Tools wie das hier (D)DoS-Deflate nicht richtig, gleich mehr dazu.

Die ganze Zeit hab ich mich gewundert warum das den nicht so klappt mit iptables wie ich will, heute bin ich erst leider daraufgekommen das irgendwie die Regeln immer wieder durch Geisterhand gelöscht werden.

1. Also es passiert so, ich füge ganz normal IP Adressen als Sperre hinzu (iptables -A INPUT -s XXX.XXX.XXX.XXX -j DROP).

2. Ich gebe iptables -nL ein und die gesperrten IP's werden angezeigt und sind auch gesperrt.

3. Ich warte 1-3 Minuten

4. Gebe wieder iptables -nL ein und die sperren sind wieder weg, warum?

Zuerst dachte ich eventuell das die Pleskfirewall die Regeln löscht, nein tut sie nicht, die hab ich deinstalliert. Ich und noch ein paar Leute suchen schon vergeblich das Problem zu beheben. Das Problem tritt nur auf einem Server auf bei den restlichen von mir speichert Iptables die Ips bis ich diese auch manuell per iptables -F bzw dem direkten Befehl lösche.

Was könnte es sein? Cronjobs hab ich durchgeschaut aber nichts auffälliges gefunden :(

Währe um jede Hilfe dankbar, danke!

[harv]

VServer oder Root?

Pleskfirewall eventuell aktiviert?

Betriebsystemeigene Firewall aktiviert? (Distry?)

Als alternative zur sperrung der IPs bzw. Blöcke

Code:

iptables --new-chain syn_flood
iptables -A syn_flood -p tcp -m tcp -m multiport -j RETURN --dports 25
iptables -A syn_flood -m hashlimit -j RETURN  --hashlimit 1/sec --hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-name syn_flood.
iptables -A syn_flood -m limit --limit 1/sec --limit-burst 3 -j RETURN
iptables -A syn_flood -j LOG  --log-prefix "SYN_FLOOD: ".
iptables -A syn_flood -j DROP

iptables -A syn_flood -m limit --limit 1/sec --limit-burst 3 -j RETURN

wenn du viele zugriffe auf http hast dann den wert eventuell anheben


und den hier unterhalb -i lo -j ACCEPT (hier die 2. Stelle einfach die 2 entsprechend ändern)

Code:

iptables -I INPUT 2 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood

[AXELB]

Rootserver -> Debian 5 -> Plesk 9.3.2

Pleskfirewall Module ist gelöscht. Installiert ist iptables und die apf Firewall.

Auch die Alternative hab ich nun eingegeben und dann gab es auch folgenden Output der -nL:

Code:

india032:~/deflate# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain syn_flood (0 references)
target     prot opt source               destination
RETURN     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp multiport dports 25
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 3 mode srcip
RETURN     all  --  0.0.0.0/0            0.0.0.0/0           limit: avg 1/sec burst 3
LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `SYN_FLOOD: .'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Ein paar Minuten später wieder nur

Code:

india032:~/deflate# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Also im prinzip hab ich nur das Problem das die Regeln nur kurzzeitig gespeichert werden.

[harv]

Ahhh ok dann poste mir mal bitte die /etc/apf/conf.apf

[AXELB]

pastebin - collaborative debugging tool

Da findest du die config, die ist leider zu groß für den Beitrag. Die dürfte aber standart sein. Meine Erfahrung mit Firewalls ist leider sehr gering, brauchte bisher nie eine ;-)

[harv]

DEVEL_MODE="1" ? wenn ja dann bitte mal auf 0 setzen

1. # !!! Do not leave set to (1) !!!
2. # When set to enabled; 5 minute cronjob is set to stop the firewall. Set
3. # this off (0) when firewall is determined to be operating as desired.

[AXELB]

Ich teste das mal. Wie soll man nur drauf kommen das die APF Firewall was mit iptables zu tun hat ;-) Melde mich auf jedenfall nochmal.

[harv]

Eigendlich setzt jede Firewall unter Linux auf IPTables auf.... ;)

[AXELB]

Danke dir harv,

das war es nun bin ich endlich die dossler los, zumindest bis zu deren ip change ;-)

[harv]

die gemeinsten fehler sind meist die simpelsten ;)

bis zu deren ip change

deshalb würde ich dir empfehlen eventuell das ^^ parallel (bei dir fehlte da dann aber noch die letzte regel die dafür sorgt das die input kette an syn_flood weitergegeben wird)