Linksys WRT54GL og 3.parts FW

[tasle]

Er det noen som har erfaring med Linksys WRT54GL og tredjeparts FW, som inneholder bedre muligheter for logging og sperring av gitte IP-adresser enn den versjonen av FW som Linksys offisielt tilbyr?

 

Har prøvd noen, men enda ikke funnet noen som (spesielt) har mulighet for å sperre uønskede IP-er med hensyn på virus/ormer og lignende.

[Lars Dongeri Oppholdsnes]

Her er noen sider om hvordan du kan bruke iptables til å blokkere.

 

http://www.sns.ias.edu/~jns/wp/2006/03/24/...d-router-howto/

http://www.wains.be/index.php/2006/01/16/s...-your-machines/

[tasle]

IPTable er forsåvidt greit å bruke, men man overlater da jobben til PCen. Det jeg egentlig er ute etter, er å la ruteren ta dette skittarbeidet. Denne Linksys ruteren er Linuxbasert, så det burde være mulig å ha en slags IPTable der og som dermed ikke belaster PC'en, om du skjønner. "Outsourcing" med andre ord..

[Lars Dongeri Oppholdsnes]

Det er jo linuxrouteren med f.eks dd-wrt som har mulighet for iptables. (Er det noe jeg misforstår her?)

[tasle]

Nei, saken er biff - det var jeg som tenkte på Windows og ikke Linux.

 

Problemet er Kina og endel andre asiatiske land med ISP'er som ikke bryr seg om hva klientene deres har av spambots, ormer og virus. Det som går igjen er "attacks" fra messenger spam bots (antakelig Yahoo Messenger), og i særlig grad høy aktiviteten fra Kina.

 

Da er det like greit å blokkere hele IP-området fra noen ISP'er f.eks. i Kina, det letter jobben. Kun noen få IP-områder istedenfor en lang rekke infiserte enkelt-IP'er.

[Lars Dongeri Oppholdsnes]

Denne regelen blokkerer TCP > port 5050 som er connect for Yahoo msngr.

 

iptables -A OUTPUT -p TCP -d 0/0 --dport 5050 -j REJECT

[tasle]

Jeg bruker ZAnalyzer til å analysere slike ting, sammen med bl.a. myNetWatchman og informasjon fra Sans.org. De portene som er mest utsatt fra kinesisk hold er spambots på port 1026 og 1027. Yahoo Messenger hadde et alvorlig sikkerhetshull for kort tid siden, så jeg mistenker at dette kan ligge bak. Sans Institute er litt vag på dette området, og nevner kun "Messenger".

 

Ellers har litt forensisk granskning vist at dette mest sannsynlig er samme spambot. Noen brukere med det samme problemet har slått av datamaskinen i to-tre dager, og etter dette har skanningen på port 1026 og 1027 sluttet. Det tyder på at en spambot ligger bak, fordi en slik spambot vil oppdateres med hvilke IP-er som ikke "eksisterer" lenger, og skanningen stopper av den grunn.

 

Men dette er kun en arbeidshypotese foreløping. Når jeg får litt erfaring med å stenge ute visse land, som Kina (verstingen), så får jeg se om teorien holder eller ei. Kina og spesielt fra domenet cnc-noc.net utgjør 4188 portskanninger pr. 12.06. her hos meg. Forøvrig er cnc-noc.net verdensberømt i klassen "verstinger" blant ISP'er.

 

Edit: 4188 portskanninger pr. 12.06. fra 1.juni.

Endret 13. juni 2007 av tasle