bloquear ip en iptables con mod_evasive

azaz · #1 (**permalink**) 05/09/2017, 04:30

Hola tengo el modulo evasive funcinando correctamente pero ahora quiero configurar la directiva DOSSystemCommand para que bloquee la ip del intruso, pero como debe ser apache no tiene permiso para hacer esto, entonces necesito saber como es la forma mas segura de hacer esto, tambien me gustaria saber si es posible bloquear una ip temporalmente con iptables como si es posible con firewalld.

Necesito hacer esto de la forma mas segura posible si alguien me orienta a los pasos que hay que hacer, gracias.

saludos

lauser · #2 (**permalink**) 05/09/2017, 05:03

Para que "DOSSystemCommand" encierre la ip del intruso, ejecuta:

Código BASH:

Ver originalDOSSystemCommand &#8220;/sbin/iptables –I INPUT –p tcp –-dport 80 –s %s –j DROP”

azaz · #3 (**permalink**) 05/09/2017, 05:24

Cita:

Iniciado por lauser

Para que "DOSSystemCommand" encierre la ip del intruso, ejecuta:

Código BASH:

Ver originalDOSSystemCommand “/sbin/iptables –I INPUT –p tcp –-dport 80 –s %s –j DROP”

Hola ya probe pero no va, apache no tiene permiso para usar iptables. Igual creo que no seria muy seguro.
Saludos

lauser · #4 (**permalink**) 05/09/2017, 05:47

Como que no funciona?
Eso es por que no configuraste apache2.conf, para que envíe datos de mod_evasive a root.
Osea, que mod_evasive envie un mensaje a root comunicándole la ip que tiene que bloquear.
Es un tema interesante y un tanto desconocido, me pongo con un tutorial sobre el tema... a ver que sale, jaja.

azaz · #5 (**permalink**) 05/09/2017, 16:03

Hola bueno si haces un tutorial yo me lo leere.
Volviendo al tema mirando los logs he visto este error.

[Wed Sep 06 00:01:40.327359 2017] [core:notice] [pid 10968] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'
Bad argument `–I'
Try `iptables -h' or 'iptables --help' for more information.

tengo una duda, quieres decir que mod_evasive no ejecuta el comando que se le pasa si no que avisa a root para que lo haga el?

creo que hay que darle permisos a mod_evasive pero esto no creo que sea la mejor solucion.

saludos

azaz · #6 (**permalink**) 06/09/2017, 16:09

Hola, tengo otro problema con mod_evasive, ya empiezo a pensar que no me esta trabajando bien el modulo.
Lo que prentendo es probar si funciona bien el modulo cambiando la configuracion:

DOSSiteCount 5
DOSSiteInterval 5

es decir permitir solo 5 peticiones en un intervalo de 5 segundo, es decir al recargar mi pagina se crean mas de 5 peticiones y efectivamente sale un error 403 pero resulta que me esta poniendo en la lista negra la ip de mi servidor en vez de poner la ip atacante.

Sep 7 01:00:17 server mod_evasive[10049]: Blacklisting address xx.xx.xx.xx: possible DoS attack.

las x es la ip de mi servidor, que puede ser?

lauser · #7 (**permalink**) 08/09/2017, 16:01

Hola azaz.
Veo que es un tema en el cual insistes. Mañana te lo preparo... en serio. La verdad es que ahora mismo ando un tanto liado con esto del cambio de país y nuevos profesionales, pero bueno... por valiente que no quede. Lo dicho mañana me pongo con el y te lo termino.

azaz · #8 (**permalink**) 16/09/2017, 13:19

es posible bloquear una ip temporalmente con iptables, creo que ahora si es posible pero no estoy seguro, alguien sabe algo.
saludos