# [solved] iptables verarbeitet sshguard rules nicht

## Raze

Hi,

nutze iptables / syslog-ng / sshguard um den lästigen Brute-Force mist loszuwerden.

Allerdings funktioniert dies (neuerdings) nicht mehr so wie angedacht. Das auth.log wird ordnungsgemäß ausgewertet, die Aufrufe sehen auch bestens aus:

```
Setting environment: SSHG_ADDR=190.152.99.19;SSHG_ADDRKIND=4;SSHG_SERVICE=10.

Aug  5 17:54:44 www05 sshguard[15491]: Run command "case $SSHG_ADDRKIND in 4) exec /sbin/iptables -A sshguard -s $SSHG_ADDR -j DROP ;; 6) exec /sbin/ip6tables -A sshguard -s $SSHG_ADDR -j DROP ;; *) exit -2 ;; esac": exited 0.
```

Wird von iptables auch wunderbar eingelesen / akzeptiert:

```

Chain sshguard (1 references)

target     prot opt source               destination

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  87.236.92.12         0.0.0.0/0

DROP       all  --  190.152.99.19        0.0.0.0/0

```

Nur leider tut iptables nicht, was es soll  :Sad:  Sieht man ja gut daran, dass die IPs immer und immer wieder hinzugefügt werden .. was nach dem ersten mal ja gar nicht mehr gehen sollte ..

In der sysctl.conf ist "net.ipv4.conf.all.rp_filter = 1" gesetzt, /proc/config.gz sagt zu IP Netfilter folgendes

```
# IP: Netfilter Configuration

CONFIG_NF_DEFRAG_IPV4=y

CONFIG_NF_CONNTRACK_IPV4=y

CONFIG_IP_NF_QUEUE=y

CONFIG_IP_NF_IPTABLES=y

CONFIG_IP_NF_MATCH_ADDRTYPE=y

CONFIG_IP_NF_MATCH_AH=y

CONFIG_IP_NF_MATCH_ECN=y

CONFIG_IP_NF_MATCH_TTL=y

CONFIG_IP_NF_FILTER=y

CONFIG_IP_NF_TARGET_REJECT=y

CONFIG_IP_NF_TARGET_LOG=y

CONFIG_IP_NF_TARGET_ULOG=y

CONFIG_IP_NF_TARGET_MASQUERADE=y

CONFIG_IP_NF_TARGET_NETMAP=y

CONFIG_IP_NF_TARGET_REDIRECT=y

CONFIG_NF_NAT_SIP=y

CONFIG_IP_NF_MANGLE=y

# CONFIG_IP_NF_TARGET_CLUSTERIP is not set

CONFIG_IP_NF_TARGET_ECN=y

CONFIG_IP_NF_TARGET_TTL=y

CONFIG_IP_NF_RAW=y

# CONFIG_IP_NF_SECURITY is not set

CONFIG_IP_NF_ARPTABLES=y

CONFIG_IP_NF_ARPFILTER=y

CONFIG_IP_NF_ARP_MANGLE=y

# IPv6: Netfilter Configuration

CONFIG_NF_CONNTRACK_IPV6=y

CONFIG_IP6_NF_QUEUE=y

CONFIG_IP6_NF_IPTABLES=y

CONFIG_IP6_NF_MATCH_AH=y

CONFIG_IP6_NF_MATCH_EUI64=y

CONFIG_IP6_NF_MATCH_FRAG=y

CONFIG_IP6_NF_MATCH_OPTS=y

CONFIG_IP6_NF_MATCH_HL=y

CONFIG_IP6_NF_MATCH_IPV6HEADER=y

CONFIG_IP6_NF_MATCH_MH=y

CONFIG_IP6_NF_MATCH_RT=y

CONFIG_IP6_NF_TARGET_LOG=y

CONFIG_IP6_NF_FILTER=y

CONFIG_IP6_NF_TARGET_REJECT=y

CONFIG_IP6_NF_MANGLE=y

CONFIG_IP6_NF_TARGET_HL=y

CONFIG_IP6_NF_RAW=y

```

iptables, syslog-ng und sshguard hab ich auch schon neu gebaut, leider ohne Erfolg  :Sad: Last edited by Raze on Thu Aug 06, 2009 8:22 am; edited 1 time in total

----------

## schachti

Was sagt denn iptables -vnL? Ich kenne sshguard nicht, aber an irgendeiner Stelle müsste die Chain sshguard ja auch angesprungen werden (bevor es zu einem ACCEPT kommt).

----------

## Raze

iptables -vnL

```

Chain INPUT (policy ACCEPT 1582 packets, 176K bytes)

 pkts bytes target     prot opt in     out     source               destination

72851   13M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

 224M   56G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

4467K  184M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80

  786 35280 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:20

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:20:21

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpts:60050:65000

    2    98 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:143

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110

    0     0 ACCEPT     tcp  --  *      *       87.237.x     0.0.0.0/0           tcp dpt:11211

    0     0 ACCEPT     tcp  --  *      *       172.10.10.0/24       0.0.0.0/0           tcp

    0     0 ACCEPT     udp  --  *      *       172.10.10.0/24       0.0.0.0/0           udp

4005K  208M ACCEPT     all  --  *      *       87.237.x     0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            87.237.x    state NEW,RELATED,ESTABLISHED tcp

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination

 199M   47G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain sshguard (0 references)

 pkts bytes target     prot opt in     out     source               destination

    0     0 DROP       all  --  *      *       87.237.x       0.0.0.0/0

    0     0 DROP       all  --  *      *       87.237.x       0.0.0.0/0

```

Die Regel wird korrekt von iptables geladen, von meinem Testsystem aus kann ich aber munter weiter drauf zugreifen.

----------

## py-ro

Entweder bin ich blind, aber deine sshguard Kette wird nirgendwo angesprungen, im Gegenteil werden Verbindungen zu Port 22 sogar explizit oer Accept angenommen.

Du müsstest vor deinen Accept Regeln also noch einen Sprung zur sshguard Kette einfügen.

Py

----------

## Raze

Gott verdammt, klar. Danke fürs lösen der Hirnblockade!

----------

