Iptables para limitar el número de conexiones entrantes.

Iptables tiene módulos muy útiles que extienden sus funcionalidades .Uno de los más interesantes es el módulo recent que permite monitorizar las conexiones recientes y limitarlas a un número que decidamos.

Esto puede ser muy útil, si por ejemplo queremos evitar ataques de denegación de servicio, ataques por fuerza bruta,…

Si normalmente ves en /var/log/auth.log registros de este tipo:

sshd[x]: Illegal user admin from aa.bb.cc.dd
sshd[x]: Illegal user test from  aa.bb.cc.dd
sshd[x]: Illegal user guest from aa.bb.cc.dd

podrías usar algunas reglas del recent para denegar el acceso temporalmente a clientes remotos que están intentado conectarse demasiadas veces.

La forma de funcionar del módulo recent es muy simple. Básicamente es añadir ips a una lista con la que posteriormente compararemos las ips de los nuevos intentos de conexión. Esto nos va a permitir limitar el número de conexiones, por intervalo de tiempo o por número de intentos.

Vamos a utilizar un ejemplo para ilustrarlo. Las siguientes 2 reglas limitarán las conexiones entrantes al puerto 22, a no más de 3 intentos en un minuto, y todo lo demas será descartado por el firewall.

iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent \
–set
iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent \
–update –seconds 60 –hitcount 4 -j DROP

El flag –state toma una lista de los posibles estados de una conexión tcp, en el ejemplo “–state NEW”, hará que solo se monitoricen las conexiones con el flag de new activado.

El flag –set en la primera línea asegurará que la ip del host que está iniciando las conexiones se añaadirá a la ‘lista reciente‘, donde posteriormente se comparará con las ips que se detecten en la segunda regla de nuestro ejemplo.

La segunda regla es donde el filtrado ocurrirá realmente. El flag –update comparará si las ips de las nuevas conexiones al puerto 22 ya existen (el parámetro –set habrá hecho que se incluyan en la lista reciente)

El flag –seconds establece el intervalo de tiempo en segundos. El –hitcount es el número de ocurrencias que deben haber de este tipo de paquetes, para aplicar el target de la regla.

La segunda regla hará un drop de una conexión entrante si:

– la ip que inicia la conexión ya está en la lista reciente,
– la ip ha mandado algún paquete en los últimos 60 segundos,
– esta ip ha mandado mas de 4 paquetes en total.

Ya sólo tienes que jugar con los parámetros para ajustarlo al servicio que quieras proteger, ya sea ssh, ftp, web,…
Con netcat puedes simular intentos de conexión. Aquí va un ejemplo:

#!/bin/bash

for i in `seq 1 5` ; do
echo ‘exit’ | nc 192.168.1.1 22 ;
done

Si vas a hacer pruebas deberias flushear reglas y tablas:

iptables -F
iptables -X

Y por último, si no estamos seguros de los parámetros que tenemos que definir para filtrar el tráfico, loguear los paquetes y analizarlos,y asi no interferir en el funcionamiento de los clientes del servicio.