Защитна стена за сървър с инсталиран oscam

[Чейреков]

Здравейте колеги,
позволявам си да повдигна тази тема за да споделя опита си във филтрацията на връзки към оскам сървъра ми които напоследък са доста зачестили при мен.

Нека да обозначим кои връзки към оскам сървъра не желаем.
1. Връзки от т.н. анонимни потребители които могат да бъдат роботи спамери или т.н.
Търсим ги в лог файла по няколко начина:
Първи начин (по-сложен) чрез връзка към сървъра със SSH
команда: more -f /put_do_log_fajla/logfajl |grep anonymous
ако има такива опити ще видим нещо от сорта
2014/04/09 14:49:05 237A8B0 c anonymous disconnected from 80.*.220.*
2014/04/09 14:49:07 2384630 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:20 239DFA0 c anonymous disconnected from 80.*.220.*
2014/04/09 14:49:26 237E7B0 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:29 2347040 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:32 2384630 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:33 239DFA0 c anonymous disconnected from *.205.173.12

Втори начин: чрез т.н. LiveLog (в последните версии и ако оскам-а ни е компилиран с тази възможност)
В полето за търсене написваме anonymous слагаме отметка на found only както и сменяме цвета на Color на някакъв друг различен от бял ;-)
Ще видим същият резултат като по-горе (ако имаме връзки от анонимни потребители ест.)
2. Нежелани връзки от потребители които сме дезактивирали/изтрили
По същия начин но този път командата от Първи начин ще е :
more -f /put_do_log_fajla/logfajl |grep rejected
Втори начин: в полето на търсене пишем rejected
и по двата начина ще видим нещо от сорта:
2014/04/09 15:00:48 236CC30 c encrypted cccam-client 193.*.7.* rejected (disabled account)

Всички начини за намиране на злонамерени връзки описани по-горе работят само ако е активиран лог файла във оскам и е събрал достатъчно информация.

След като сме ги обозначили виждаме ИП адресите от които идват запитванията (заменил съм някои от числата със*)

Тъй като моята операционна система е убунту сървър предлагам начин за филтриране на връзки от ип адреси чрез инструмента ufw:
Влизаме като root чрез ssh/telnet във сървъра и пишем
ufw default allow
-тази команда казва на защитната стена по подразбиране на пропуска всички връзки
ufw enable
-тази команда активира защитната стена
ufw deny from IP_ADRESS_KOITO_ISKAME_DA_FILTRIRAME
-тази команда забранява изцяло всякакви връзки от IP_ADRESS_KOITO_ISKAME_DA_FILTRIRAME
ufw status numbered
- тази команда показва филтрите които са активирани до този момент по номера
Ако искаме да премахнем някой филтър пишем:
ufw delete NOMERA_NA_FILTARA

За повече информация за инструмента ufw тук

ВАЖНО: 1. чрез правилата по-горе спирате достъпа от посочените адреси изцяло до вашия сървър а не само до оска-ма
2. Работете внимателно с инструмента ufw и първо проверете дали нямате други потребители които трябва да работят от ип адресите които виждате от посочените примери.

Ще се радвам ако споделите опита си за филтриране на връзки в други операционни системи или сте си написали различни скриптове

Благодаря предварително