The Best Streaming Software!
VIVO Rent A Car - Your car rental
Върни се   Digital TV Forums - БЪЛГАРСКИЯТ ФОРУМ ЗА ЦИФРОВА ТЕЛЕВИЗИЯ > Шеринг и емулатори > Емулатори > MPCS/OScam

Отговори
 
Контрол над темата Начин на разглеждане
  #1  
Стар 09-04-2014
Чейреков Чейреков не е на линия
Banned
 

Дата на присъединяване: Feb 2014
Мнения: 11
Благодари: 7
Получил благодарност:
21 пъти в 4 поста
Сваляния: 2
Ъплоуди: 0
Lightbulb Защитна стена за сървър с инсталиран oscam

Здравейте колеги,
позволявам си да повдигна тази тема за да споделя опита си във филтрацията на връзки към оскам сървъра ми които напоследък са доста зачестили при мен.

Нека да обозначим кои връзки към оскам сървъра не желаем.
1. Връзки от т.н. анонимни потребители които могат да бъдат роботи спамери или т.н.
Търсим ги в лог файла по няколко начина:
Първи начин (по-сложен) чрез връзка към сървъра със SSH
команда: more -f /put_do_log_fajla/logfajl |grep anonymous
ако има такива опити ще видим нещо от сорта
2014/04/09 14:49:05 237A8B0 c anonymous disconnected from 80.*.220.*
2014/04/09 14:49:07 2384630 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:20 239DFA0 c anonymous disconnected from 80.*.220.*
2014/04/09 14:49:26 237E7B0 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:29 2347040 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:32 2384630 c anonymous disconnected from 197.251.*.6
2014/04/09 14:49:33 239DFA0 c anonymous disconnected from *.205.173.12

Втори начин: чрез т.н. LiveLog (в последните версии и ако оскам-а ни е компилиран с тази възможност)
В полето за търсене написваме anonymous слагаме отметка на found only както и сменяме цвета на Color на някакъв друг различен от бял ;-)
Ще видим същият резултат като по-горе (ако имаме връзки от анонимни потребители ест.)
2. Нежелани връзки от потребители които сме дезактивирали/изтрили
По същия начин но този път командата от Първи начин ще е :
more -f /put_do_log_fajla/logfajl |grep rejected
Втори начин: в полето на търсене пишем rejected
и по двата начина ще видим нещо от сорта:
2014/04/09 15:00:48 236CC30 c encrypted cccam-client 193.*.7.* rejected (disabled account)

Всички начини за намиране на злонамерени връзки описани по-горе работят само ако е активиран лог файла във оскам и е събрал достатъчно информация.

След като сме ги обозначили виждаме ИП адресите от които идват запитванията (заменил съм някои от числата със*)

Тъй като моята операционна система е убунту сървър предлагам начин за филтриране на връзки от ип адреси чрез инструмента ufw:
Влизаме като root чрез ssh/telnet във сървъра и пишем
ufw default allow
-тази команда казва на защитната стена по подразбиране на пропуска всички връзки
ufw enable
-тази команда активира защитната стена
ufw deny from IP_ADRESS_KOITO_ISKAME_DA_FILTRIRAME
-тази команда забранява изцяло всякакви връзки от IP_ADRESS_KOITO_ISKAME_DA_FILTRIRAME
ufw status numbered
-
тази команда показва филтрите които са активирани до този момент по номера
Ако искаме да премахнем някой филтър пишем:
ufw delete NOMERA_NA_FILTARA

За повече информация за инструмента ufw тук

ВАЖНО: 1. чрез правилата по-горе спирате достъпа от посочените адреси изцяло до вашия сървър а не само до оска-ма
2. Работете внимателно с инструмента ufw и първо проверете дали нямате други потребители които трябва да работят от ип адресите които виждате от посочените примери.

Ще се радвам ако споделите опита си за филтриране на връзки в други операционни системи или сте си написали различни скриптове

Благодаря предварително

Последно редактирано от Чейреков : 09-04-2014 на 16:30 Причина: правописни грешки
Отговори с цитат
Следните потребители (8) благодарят на Чейреков за този полезен пост
jassen (09-04-2014), njor (09-04-2014), reeexx (10-04-2014), Underworld (10-04-2014), дрим (09-04-2014), Ламерът (09-04-2014), Онджичек (09-04-2014), Халил (10-04-2014)
  #2  
Стар 09-04-2014
Аватара на дрим
дрим дрим не е на линия
Модератор
 

Дата на присъединяване: Feb 2012
Местоположение: София
Мнения: 7,132
Благодари: 1,291
Получил благодарност:
6,124 пъти в 2,544 поста
Сваляния: 71
Ъплоуди: 8
По подразбиране

Поздравления колега за отделеното време и подробното обяснение.
Аз лично използвам Iptables, но както се казва въпрос на вкус и предпочитания.
Като цяло най-добрия вариянт е ако клиентите са ви със статични адреси, да ги пермитвате само тях, а останалите да са реджекнати по подразбиране, което би било перфектно, но за съжаление много рядко срещано.
Във всички случаи препоръчвам менъджмент порта да е отворен само за адресите от които вие се свързвате и да не позволявате root достъп под конзола.
Поздрави от мен.
__________________
Техническите въпроси на лично, носят полза само на питащият и е неуважение към форума!
За подобни въпроси, използвай ТОВА!


Отговори с цитат
Следните потребители БЛАГОДАРЯТ на дрим за този полезен пост :
Чейреков (10-04-2014)
  #3  
Стар 09-04-2014
Аватара на Онджичек
Онджичек Онджичек не е на линия
мега форумец
 

Дата на присъединяване: Oct 2009
Местоположение: СФ
Мнения: 955
Благодари: 889
Получил благодарност:
302 пъти в 189 поста
Сваляния: 177
Ъплоуди: 8
По подразбиране Защитна стена за сървър с инсталиран oscam

Аз ползвам iptables директно на рутера. Имам едно питане към @чейреков- каква е идеята да се рови в лога, при положение че оскам има фейлбан? Да не би той (фейлбана) да пропуска нещо?!
__________________
TOR90 - 1,9E,9Е,13E,16E,19E,36E,39E,45Е;GS120 rotor; Zgemma H9 twin;RPI;

Последно редактирано от Онджичек : 09-04-2014 на 20:51
Отговори с цитат
  #4  
Стар 09-04-2014
Аватара на дрим
дрим дрим не е на линия
Модератор
 

Дата на присъединяване: Feb 2012
Местоположение: София
Мнения: 7,132
Благодари: 1,291
Получил благодарност:
6,124 пъти в 2,544 поста
Сваляния: 71
Ъплоуди: 8
По подразбиране

Ами ако някой от усерите ти си пусне за момент втори приемник със същата линия преди да е загасил първия и си с unique 1 ще го баннеш и него


Sent from my GT-N7100 using Tapatalk
__________________
Техническите въпроси на лично, носят полза само на питащият и е неуважение към форума!
За подобни въпроси, използвай ТОВА!


Отговори с цитат
  #5  
Стар 09-04-2014
Аватара на jassen
jassen jassen не е на линия
мега форумец
 

Дата на присъединяване: Apr 2009
Местоположение: София
Мнения: 323
Благодари: 147
Получил благодарност:
110 пъти в 71 поста
Сваляния: 157
Ъплоуди: 1
По подразбиране

Цитирай:
Първоначално написано от Онджичек Вижте мненията
Аз ползвам iptables директно на рутера. Имам едно питане към @чейреков- каква е идеята да се рови в лога, при положение че оскам има фейлбан? Да не би той (фейлбана) да пропуска нещо?!
Жоро, фейлбан-а блокира достъпа до картите, иначе самите те се виждат и точно това използват някой недобронамерени колеги. След това ги представят като свои, друг е въпроса че няма да работят.
Отговори с цитат
  #6  
Стар 10-04-2014
Чък Норис Чък Норис не е на линия
Модератор
 

Дата на присъединяване: Dec 2008
Местоположение: Пловдив
Мнения: 11,927
Благодари: 979
Получил благодарност:
7,307 пъти в 3,548 поста
Сваляния: 89
Ъплоуди: 24
По подразбиране

Цитирай:
Първоначално написано от jassen Вижте мненията
Жоро, фейлбан-а блокира достъпа до картите, иначе самите те се виждат и точно това използват някой недобронамерени колеги. След това ги представят като свои, друг е въпроса че няма да работят.
Не е вярно това, директно те изхвърля и нямаш достъп до оскама, може би се бъркаш с антикаскадинга.
Цитирай:
Първоначално написано от дрим Вижте мненията
Ами ако някой от усерите ти си пусне за момент втори приемник със същата линия преди да е загасил първия и си с unique 1 ще го баннеш и него
Затова има опцията failbancount, което е хубаво да се остави на 2 или 3, аз даже поставям и 5, защото има шитави приемници, които първият им лог винаги го изписва като анонимен, дори и с някои от версиите на оскама го прави.
Отговори с цитат
Следните потребители БЛАГОДАРЯТ на Чък Норис за този полезен пост :
njor (10-04-2014)
  #7  
Стар 10-04-2014
Чейреков Чейреков не е на линия
Banned
 

Дата на присъединяване: Feb 2014
Мнения: 11
Благодари: 7
Получил благодарност:
21 пъти в 4 поста
Сваляния: 2
Ъплоуди: 0
По подразбиране Failban vs. firewall

Цитирай:
Първоначално написано от Продуцентът Вижте мненията
Не е вярно това, директно те изхвърля и нямаш достъп до оскама, може би се бъркаш с антикаскадинга.

Затова има опцията failbancount, което е хубаво да се остави на 2 или 3, аз даже поставям и 5, защото има шитави приемници, които първият им лог винаги го изписва като анонимен, дори и с някои от версиите на оскама го прави.
Да разбираме ли, че защитата която предоставя oscam е достатъчна за да защитим него и нашия сървър от нежелани връзки ?

Искаше ми се (от заглавието на темата си личи) колегите да споделят тяхното виждане за защитна стена, затова съм благодарен на колегите, които са написали, че те ползват iptables.

Ще съм още по-благодарен ако споделят и конкретни примери за тяхната защитна стена.

Ще съм благодарен как те откриват такива връзки към oscam (автоматизирани скриптове и пр.)

Ще съм благодарен и на умните глави ако колеги споделят защитни стени които са правили на приемници и ембедед устройства.

Благодаря предварително.

Последно редактирано от Чейреков : 10-04-2014 на 10:41
Отговори с цитат
  #8  
Стар 10-04-2014
Чък Норис Чък Норис не е на линия
Модератор
 

Дата на присъединяване: Dec 2008
Местоположение: Пловдив
Мнения: 11,927
Благодари: 979
Получил благодарност:
7,307 пъти в 3,548 поста
Сваляния: 89
Ъплоуди: 24
По подразбиране

За малки домашни сървъри е напълно достатъчно.
От там винаги може да добавиш нежеланите за постоянно в iptables.
Отговори с цитат
  #9  
Стар 10-04-2014
Чейреков Чейреков не е на линия
Banned
 

Дата на присъединяване: Feb 2014
Мнения: 11
Благодари: 7
Получил благодарност:
21 пъти в 4 поста
Сваляния: 2
Ъплоуди: 0
По подразбиране In jure veritas....

Цитирай:
Първоначално написано от Продуцентът Вижте мненията
За малки домашни сървъри е напълно достатъчно.
От там винаги може да добавиш нежеланите за постоянно в iptables.
Хах както се казваше в един виц: "Поименно колега поименно..."

Та ... Примери г-н ПРОДУЦЕНТ примери (ако желаете естествено)
как вземате ип-тата които да сложите в iptables и какви команди използвате. С това темата ще е още по полезна за всички.
Как го правим ако не-желаем да ползваме failban примерно ?

Домашно или не сигурността мисля, че е на важно място защото принася за стабилност

Наздраве

Последно редактирано от Чейреков : 10-04-2014 на 11:31 Причина: синтактични поправки
Отговори с цитат
  #10  
Стар 10-04-2014
Аватара на njor
njor njor не е на линия
Човек
 

Дата на присъединяване: Nov 2009
Местоположение: София
Мнения: 2,573
Благодари: 1,115
Получил благодарност:
1,594 пъти в 785 поста
Сваляния: 181
Ъплоуди: 3
По подразбиране

Когато е на една и съща машина както се получава когато бана се осъществява от оскама или от операционната система(убунтото) разликата е минимална.По голямо значение има начина на шкартиране,дали ще му се отговори или няма да му се обърна внимание(написано елементарно за да ме разберат и колеги които не се занимават със сървари).
По чистия начин е с рутер или друго устройство преди машината която се защитава.
Отговори с цитат
Sponsored Links
VIVO Rent A Car  Вземи своят Vu+ сега!  SatPlus
Отговори

Съобщения от Devil M
VIVO Rent A Car  

Тагове
oscam, За, защитна, инсталиран, стена, сървър


Активни потребители разглеждащи тази тема в момента: 1 (0 членове и 1 гости)
 
Контрол над темата
Начин на разглеждане

Подобни теми
Тема Започнал темата Форум Отговори Последно мнение
OSCAM - блокиране на определена карта от сървър. lz4ny MPCS/OScam 4 31-12-2011 14:45
OScam сървър - ССсам клиент..? Посветения MPCS/OScam 18 25-04-2011 13:04
oscam и debian сървър martinakis MPCS/OScam 63 15-04-2011 19:31
Инсталиран е DishPointer АДМИН Новини и мнения 2 10-01-2011 21:14
Настройка на защитна стена Slammer КОМПЮТРИ и периферия 4 01-04-2009 11:01


Всички времена са във формат GMT +3. Часът е 02:15.


DTV-BG Powered by vBulletin Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.